在役平台安全仪表系统的SIL验证

2020-12-24 01:29张春娥严雪莲周晓艳
盐科学与化工 2020年12期
关键词:失效率完整性仪表

张春娥,严雪莲,周晓艳,唐 敏,彭 宇

(海洋石油工程股份有限公司,天津 300451)

1 概述

常规油田设计年限为20 a,经过多年开发,这些油田逐渐接近设计寿命并进入超期服役阶段。但是部分油田所在区块仍有较大储量,具有较高的开采价值,因此需要这些平台继续生产。由于油田设备设施已经进入超期服役期,部分设备设施老化严重,已经不能满足安全生产的需要,因此对其状态评估(结构、设备、安全仪表系统等)是非常必要的,对于不满足要求的系统进行升级改造。

对于达到设计期限后拟进入超期服役阶段的平台的仪表系统,为满足安全生产的需要,对其状态进行延寿评估是非常必要的。随着社会对工业过程安全的日益重视,安全仪表系统逐渐被社会认可,并被广泛使用在平台生产装置。国家安全监管总局的安监总管三(2014)116号文件,印发了《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》,其中明确要求要“积极推进在役安全仪表系统的评估工作”。因此,对于达到设计期限拟进入超期服役的在役平台的安全仪表系统,应在装置全面开展过程危险分析的基础上,对安全仪表系统进行全面评估和SIL验证计算,以确保安全仪表系统满足所需要的的风险降低要求。

2 SIL验证

当SIL等级评估完毕以后,需针对现有流程进行SIL验证计算。SIL验证即对工艺流程中安全仪表系统的安全完整性等级进行定量计算,以判断现有安全仪表系统的配置是否能够达到SIL定级时要求的SIL等级,对未达到SIL等级的安全仪表系统进行改进或优化测试,提高系统的安全完整性等级,以确保工艺流程平稳运行。

2.1 SIL验证流程

(1)建立验证标准和准则;

(2)确定结构约束的SIL等级;

(3)确定随机失效的SIL等级;

(4)SIL等级比较研究及修改。

2.2 建立SIL验证的标准和准则

评判一个SIF所能达到的SIL,一是根据IEC61508/61511规定,评判其结构约束安全完整性(SILac)。二是计算其要求时的平均失效概率,依据标准,判定随机硬件完全完整性(SILpfd);这也是国际上对SIF进行SIL验证的通常做法。图1为SIL验证准则选取示意图。

图1 SIL 验证示意图Fig.1 SIL verification diagram

(1)结构约束安全完整性(SILac)判定标准。

A类子系统的结构约束安全完整性所能声明的最高SILac见表1和表2。

表1 可编程电子(PE)逻辑控制器的最低硬件故障裕度Tab.1 Minimum hardware fault tolerance of programmable electronic logic controller

表2 传感器、最终元件和非可编程电子(PE)逻辑控制器的最低硬件故障裕度Tab.2 Minimum hardware fault tolerance of Sensors, final components and non programmable electronic logic controllers

(2)随机硬件安全完整性(SILpfd)判定标准。

随机硬件安全完整性所能声明的最高SILpfd见表3。

(3)确定结构约束SIL等级。

查找安全回路中包含的传感器、逻辑控制器、最终元件等器件相关的型号、规格,根据现场安全仪表系统的使用,运行及维护记录等情况并综合国际上可信数据库确定各器件检测到的危险失效率(λDD)、未检测到的危险失效率(λDU)、检测到的安全失效率(λSD)以及未检测到的安全失效率(λSU)。计算出安全分数(SFF)、硬件故障裕度(HFT),由表1和表2确定结构约束安全完整性等级(SILac)。

表3 安全完整性等级Tab.3 Safety integrity level

(4)确定随机硬件安全完整性SIL等级。

查找安全回路中包含的传感器、逻辑控制器、最终元件等器件相关的型号、规格,根据现场安全仪表系统的使用,运行及维护记录等情况并综合国际上可信数据库确定各器件检测到的危险失效率(λDD)、未检测到的危险失效率(λDU)、检测到的安全失效率(λSD)以及未检测到的安全失效率(λSU)。计算PFD值,确定随机失效安全完整性等级SILpfd。

SIS的安全功能在要求时的平均失效概率是通过计算和组合提供安全功能的所有子系统在要求时的平均失效概率按式1计算得到的。传感器、逻辑控制器、最终元件的要求时平均失效概率按其冗余表决结构类型,由建模方法计算得到。建模方法主要有可靠性框图、故障树和马尔科夫等几种方法。根据PFDSIS由表3即可判断SIS所对应的SILpfd。

PFDSIS=PFDS+PFDL+PFDPE

(1)

式中:PFDSIS——SIS的安全功能在要求时的平均失效概率;PFDS——传感器子系统要求时的平均失效概率;PFDL——逻辑控制器子系统要求时的平均失效概率;PFDFE——最终元件子系统要求时的平均失效概率。

(5)SIL等级对比及结论。

选取结构约束的SIL等级、随机失效的SIL等级两者的最小值作为评估的SIF当前能达到的SIL等级,与要求达到的SIL等级进行对比。

3 实例

以某海洋平台生产分离器的液位高高为例进行分析。生产分离器为被保护设备。识别情景为生产分离器液位LT-2002高高引起液体窜到火炬系统,引起火雨、原油泄漏,造成环境污染和经济损失。根据SIL分析结果其SIL要求为SIL2。液位SIF回路的输入输出结构见表4。

SIL验证可靠性数据见表5。

根据可靠性数据以及IEC 61508中提供的可靠性框图法分别结构约束的SILac和随机失效SILpfd,SILac计算见表6,SILpfd计算见表7。

表4 SIF回路的输入输出Tab.4 Input and output of SIF loop

表5 SIL验证可靠性数据Tab.5 SIL verification reliability data

表6 各子系统结构约束的SILTab.6 SIL of subsystem structure constraints

表7 随机失效的SILTab.7 SIL with random failure

由表6和表7可知,液位回路硬件安全完整性结构约束的SIL能力为SIL1,随机失效的SIL能力为SIL1,因此整体回路目前能达到的SIL等级为SIL1,未达到要求的SIL2能力。

根据计算可知,影响安全功能回路SIL结果的主要原因是回路的硬件安全完整性结构约束SIL不满足,传感器和执行机构制约了回路的结构约束SIL能力。若要提高该SIF的SIL等级,必须对传感器和执行器同时做一定的改进。提高SIL等级主要有三方面措施:缩短功能测试周期、增加系统冗余配置与提高单个设备可靠性。提高单个设备可靠性不仅初期投资较大,后期维护成本也较高,通常不采用。通过分析,缩短功能测试周期并不能改变此安全仪表系统的结构约束SILac;因此,首先增加传感器和执行机构的冗余配置先提高硬件故障裕度,使结构约束SILac满足,再核算随机失效PFDavg,若SILpfd不满足,再缩短测试周期进一步分析。该项目调整措施见表8、表9。

表8 各子系统结构约束的SILTab.8 SIL of subsystem structure constraints

表9 改进冗余配置后的随机失效的SILTab.9 SIL with random failure after improved redundancy configuration

通过表8和表9可知,测试周期仍为1 a,将传感器和执行机构配置改成1oo2可以使SIF等级提高到SIL2。

4 结束语

SIL等级验证就是系统的结构约束SILac和随机失效SILpfd均要达到要求的SIL等级。对于在役平台SIL等级验证工作,若验证出的SIL等级高于要求的SIL等级,分析计算结果,可以适当增加检验测试周期;若验证出的SIL等级低于要求的SIL等级,分析计算结果,找出限制SIL等级的原因进行调整,可以通过缩短功能测试周期、增加系统冗余配置与提高单个设备可靠性等一种方式或几种方式结合运用使其达到要求的SIL等级。

猜你喜欢
失效率完整性仪表
◆ 仪表
Archimedean copula刻画的尺度比例失效率模型的极小次序统计量的随机序
仪表
石油化工企业设备完整性管理
深入理解失效率和返修率∗
基于改进龙格-库塔法反舰导弹贮存寿命研究
热工仪表自动化安装探讨的认识
莫断音动听 且惜意传情——论音乐作品“完整性欣赏”的意义
奔驰E260车行驶过程中仪表灯熄灭
精子DNA完整性损伤的发生机制及诊断治疗