陈绍状 中沙(天津)石化有限公司 天津 300271
安全仪表系统作为化工生产装置最重要安全保护屏障之一,其设计必须满足石油化工安全仪表系统设计规范以及国际电子电工组织标准最低要求,确保在建项目安全平稳投产、运行。本文根据石油化工行业标准,对某在建项目安全仪表系统设计进行标准合规性核查,并在SIF回路硬件冗余、系统共用以及旁路管理方面提出个人见解。
笔者结合石油化工行业相关标准及个人工作实践,对安全仪表系统中的有关概念描述如下:
实现一个或多个安全仪表功能的仪表系统称为安全仪表系统,由测量仪表、逻辑控制器(及相关软件)、最终执行机构三个环节构成,同时还包含系统运行相关的辅助设施,例如电源。
安全仪表系统最基本特征是故障安全型,即失电关停意味着不需要借助能源(电源、气源)完成其安全功能。需要强调的是与日常所说的狭义概念不同,狭义SIS系统多指逻辑控制器及相关卡件与软件合集,仅仅是广义SIS系统的逻辑解算环节,本文所阐述的SIS系统指的是广义安全仪表系统。
安全仪表功能(SIF)是安全仪表系统的核心,具有特定SIL等级的独立保护层将被保护装置或设备置于特定安全状态。
SIF的执行载体是安全仪表系统,而安全仪表系统是由多个独立SIF回路构成。值得强调的是,SIF回路不完全等同于安全仪表系统联锁回路,SIF回路中所有的原因与结果都是安全的,具备SIL等级要求,而安全仪表系统的联锁回路并非所有原因或动作都具备SIL等级要求。
HFT=N-M(N代表执行安全仪表功能的传感器或最终元件总数,其中M个传感器或最终元件即可实现回路安全仪表功能),硬件故障裕度即是硬件冗余度,属于结构约束范畴概念,是SIF回路能够达到SILn要求的必要条件之一。
从风险矩阵角度理解,风险即是特定危险事件发生的概率与所致后果危害(严重)程度的二维乘积。
风险降低可通过两种途径实现,一是通过降低后果的危害程度,比如通过火灾报报警与消防系统设计与配置;二是降低风险发生的概率,实质是通过独立保护层的识别、设计、配置来降低后果发生的概率。通常,HAZOP+LOPA分析方法将SIS保护层作为被保护装置或设备最后保护措施,用于消减其它保护层作用之后仍无法消减的残余风险,将风险降低至可接受风险区。根据残余风险等级确定SIF保护层的SIL等级,参考模型见图1。
图1 SIL等级设计依据示意图
风险不可能完全消除,但是可以尽可能降低。若要考虑将残余风险尽可能接近完全消除,将消耗无限时间、金钱,因此最低合理可行原则(ALARP)被视为效益与风险之间平衡的切实有效基本原则,即残余风险需要降到合理可行范围之内的最低程度。
本文以某在建项目为例进行分析及提出相关建议。该项目中,可燃气体与助燃气体作为原料或燃料被多个生产过程使用,因此相关安全仪表设计与配置应该严格遵循石油化工安全仪表标准要求,且同时兼顾最低合理可行原则。
2.1.1 项目案例 IL8101A/B分析
SIF回路IL8101A/B设计要求安全完整性等级是SIL3,用于CO装置POX炉开车预热阶段。当检测到炉内失火时,SIF回路立即通过关闭天然气切断阀切断天然气供应,从而防止天然气在预热烧嘴熄灭,及天然气和空气混合积聚导致的炉膛爆炸。
根据《石油化工安全仪表设计规范》6.3.3, SIL3的SIF应采用冗余测量仪表,同时根据IEC61508 7.4.3,通常情况下单台检测仪表最高能够达到SIL2,SIL3回路必须满足检测仪表达到冗余配置,硬件故障裕度大于等于1。
目前,IL8101A/B回路仅设计一台火检探测器,满足不了SIL3等级硬件结构约束要求,建议如下:
(1)进行HAZOP/LOPA分析,对此危险场景及后果进行再分析论证,确定是否需要SIL3保护回路。
(2)如果SIL3等级回路需求确立后,配置冗余火检探测器,实现2取1表决或3取2表决逻辑。
(3)如果不需要SIL3等级回路,保留目前配置即可以满足标准要求。
2.2.1 项目案例 IL8201分析
SIF回路IL8201设计要求安全完整性等级是SIL3,用于在碳酸二甲酯装置反应器正常运行期间。 当检测到出入口氧气含量HH时,SIF回路立即通过关闭氧气切断阀和调节阀切断氧气供应,从而防止在反应器出入口氧气含量超限导致后系统氧气含量高发生爆炸。
本SIF回路原始设计关于切断氧气的动作是通过关闭一个切断阀与一个控制阀实现。根据《石油化工安全仪表设计规范》7.2.3及IEC61511-1 11.2.9的要求,SIL3的SIF回路不能与基本过程控制系统共用最终执行机构。
基本过程控制系统调节阀不能被定义为独立的安全仪表系统阀门,即使部分配件具备SIL认证,但仍属带有安全动作的过程控制阀门;经过SIL验证分析(如表1),确定当前执行机构配置无法满足SIL3回路要求。因此,建议额外增加独立于基本过程控制系统的切断阀,且切断阀PFDavg满足SIL3回路要求。执行机构配置前、后对比见图2,建议前、后SIF回路PFDavg验证结果对比见表1。
表1 建议前、后SIL回路PFDavg验证结果对比
图2 执行机构配置前、后对比图
开车旁路用于过程工艺开车过程中。输入信号还未到正常值之前,将其暂时旁路。安全仪表逻辑不受被旁路输入信号的影响,当开车完成后应立即将旁路移除。正确的操作与合规化管理决定了被保护的生产装置或设备是否能够在危险场景下处于安全状态。
下面,基于《石油化工安全仪表系统设计规范》第10章与IEC61511-1 16.2要求,对开车旁路操作提出建议。
2.3.1 旁路操作前操作建议
(1)获取旁路许可,旁路许可具备完善、合规的审批流程。
(2)确认工艺流程、确认安全仪表回路功能(即确认SIF回路条件与结果)。
(3)确认安全仪表回路中相关条件的旁路前后表决方式。因表决方式设计约束,旁路后安全仪表功能回路行为必然发生变化,装置工艺人员确认旁路后的联锁行为是否可被接受。检测元件旁路前、后回路表决示意图见图3。
图3 检测元件旁路前、后回路表决示意图
2取2表决方式SIF回路,若设计要求条件旁路后表决停车数不变,那么旁路其中一个条件时表决方式将变成1取2,即使未被旁路的检测点已经真实检测到满足联锁触发条件,此回路将不会触发联锁动作,从而达到顺利开车的目的。这种表决好处在于避免因未被旁路仪表出现坏点或者误报导致误停车,但是必须强调的是这种旁路行为将使装置或设备在真正处于危险状态时无法被有效保护,从而引发安全事故,因此仅用于开车工况,在工艺操作人员监管下才能使用。
2.3.2 执行旁路过程中的操作建议
执行旁路过程中,建议一人操作,一人确认,确保旁路按计划正确执行。
2.3.3 旁路操作后操作建议
(1)实时监控被保护装置或设备的运行状态,跟踪旁路状态,确保在出现异常状态时及时根据预先制定应急方案处理。
(2)实时监控旁路状态,确保旁路操作需求结束后,及时恢复条件监控功能。
安全仪表系统作为化工生产装置最重要的安全保护屏障之一,其设计必须满足石油化工安全仪表系统设计规范以及国际电子电工组织标准最低要求。笔者从专业设计角度出发,对安全仪表系统设计的具体实例进行分析,供设计参考。