朱东利
(南京聚高工程技术有限公司,江苏 南京 210000)
安全完整性等级(SIL)验证一词频繁出现在近几年的安全监管文件和各项目的日常安全检查中,企业为了满足安全生产监管的要求,委托设计、安全评价或咨询单位编制SIL验证报告[1]。报告编制单位在SIL验证的过程中,会存在一些难题,导致报告编制进度缓慢。
本文结合实际工作经验,对常见的疑问进行分析和解答,并探讨SIL验证工作本身的意义和有待完善的地方。
刚开始接触SIL验证的工程师,关注点会在要求时平均失效概率(PFDavg)的计算[2],更多研究数学公式或者计算机辅助软件。但在很多在役装置中,安全仪表功能(SIF)回路的确定反而是最大的工作量,也是需要反复和建设单位确定的环节,造成了项目进度的“卡壳”。造成该现象的原因有如下几种:
1)SIL验证时机不当。按照正常项目流程,SIL验证报告应该在采购设备之前,对有采购意向的设备组成的SIF回路进行验证,这样避免既成事实以后,为了满足要求而去调整计算公式中的参数去凑数据。但是SIL验证是新要求,对于很多老项目来说上述流程并不适用,只能根据现场情况补做SIL验证报告,就会出现资料不全的情况。
2)SIL定级报告中的结论与安全仪表系统(SIS)联锁逻辑图不一致。SIL定级是SIS设计的输入条件,SIL验证是对SIL定级的闭环,按照正常的项目流程,SIS的逻辑组态应该和SIL定级报告里面的SIF回路联锁要求是一致的。
但有的项目SIL定级是在初步设计阶段做的,在施工图阶段对SIS的联锁逻辑做了调整,SIL定级报告并没有及时更新;或者SIL定级里只给了关键安全动作,但是考虑装置的上下游联动性,SIS设计的时候增加了一些辅助安全动作;又或者做了SIL定级报告以后,因某些原因SIS设计时并没有完全执行定级报告的要求,可能有增补或者删减。
3)SIS组态与SIS联锁逻辑图不一致。有的项目在SIS组态时建设单位工艺专业对联锁逻辑进行了调整,但并没有通知设计单位人员出具变更,或者设计单位人员出具了变更单但并未更新SIS联锁逻辑图。
4)订货资料与现场不一致。企业疏于合同管理,或者人员流动较大,导致提供的订货清单与现场安装的设备不一致。
5)SIS投用后发生了变更。在SIS的运行周期内,调整了生产工艺或者完善了工艺包,增补或者删除了部分联锁,但未修订SIS联锁逻辑图及SIL定级报告。
6)未配备专职的自控人员。SIS平时动作较少,企业管理和维护人员对其知之甚少。该问题在精细化工企业比较常见,有的是安全技术人员兼管仪表,有的是仪表和电气维护由一人负责,有的甚至自动化处于无人维护状态;或者是工厂运行以后配置了仪表工程师,但是并没有完整的项目建设资料,后来者对项目建设情况知之不详。
上述各种因项目流程不当和管理混乱的原因,最终导致项目提供的SIL定级报告、SIS联锁逻辑图和现场实际组态的SIS联锁画面不一致。
这并不是个例,而是很多项目上存在的普遍问题,侧面反映了项目的文件管理存在纰漏,且忽略了文件之间的关联性,最后导致文件的一致性、完整性出现纰漏。同时,并没有完全执行SIS全生命周期管理制度,未重新评估和设计变更的内容,未形成有效的记录。
在役装置SIL验证的范围确定时,会出现如下几种情况:
1)资料不匹配。当出现资料不匹配时,以SIS组态画面和现场实际安装的设备为准。这是以结果为导向的思路,当其他资料和最终的SIS组态画面不一样时,建设单位可以SIS组态画面为准去要求修改SIL定级报告、SIS设计,当然前提是SIS组态画面中的逻辑是满足监管文件、标准的要求的。
对于SIL定级报告中未提及的SIF回路,该部分可能是辅助安全动作,也可能是SIS联锁时发出信号给DCS执行的动作,若分析结果不是遗漏的原因,则都按SILa考虑,该部分不予验证。若是因为现场变更导致和SIL定级的出入,那么还需对该部分重新定级后再进行验证。
2)关键安全动作与辅助安全动作[3]。以重点监管危险化工工艺为例,某危化反应在滴加的过程中放热明显,如果升温了以后立即把滴加切断阀关掉,温度就不会上升得太快;滴加结束后整个反应是比较温和的。根据监管文件要求,SIL定级报告中要求:“反应釜温度过高,SIS联锁关闭滴加切断阀,关闭夹套蒸汽进出阀、打开夹套冷却水进出阀,打开排空切断阀”。在该案例中,“关闭滴加切断阀”就是温度过高的关键安全动作,只要把该阀关了反应釜就不会超温;而“关闭夹套蒸汽进出阀、打开夹套冷却水进出阀,打开排空切断阀”则是辅助安全动作。
以加氢反应器为例,“反应器温度过高,SIS联锁关闭氢气进料切断阀,停氢气压缩机”,对于反应器的温度而言,只要氢气不再进入温度就不会上升,所以“关闭氢气进料切断阀”是关键安全动作;而“停氢气压缩机”是为了保护压缩机,考虑装置的上下游关联,是辅助安全动作,但该动作在氢气压缩机出口压力过高的SIF回路里面,它又是关键安全动作,所以装置上下游联动调试是很关键的。
若SIL定级报告中SIF回路的联锁动作过多,应由工艺专业划分关键安全动作与辅助安全动作。最简单的方法是,假设所有执行动作都是人工手动操作,当工艺参数控制偏离,必须在短时间内处理,最先和最紧急要处理的那个或那几个动作就是关键安全动作,它们能够阻止事故的发生。
区分关键安全动作和辅助安全动作,不仅仅是为了减少执行元件子单元的构成,方便SIL验证的通过,同时也有利于建设单位日常维护人员有针对性地对设备进行分级管理和维护。
3)SIL0和SILa回路。SIL0是指联锁无需接入SIS内执行,SILa是指联锁在SIS内实现但是对SIF回路的SIF等级无要求。当一个项目中有多个SIF回路,只需要对SIL1,SIL2,SIL3的SIF回路进行验证,因为只有这些回路有SIF等级的要求,需要计算回路的PFDavg。
但是也有一些项目,SIL定级报告里面回路全部是SIL0和SILa,且大部分情况涉及到“两重点一重大”装置,从技术角度考虑是不需要进行SIL验证的。但是安全监管文件和安全检查专家提出,让企业补充SIL验证报告。SIL定级时可能想尽可能地降低回路的SIL等级,但是并没有为此降低配置或者减少程序。这样的项目是令人尴尬的,在做SIL验证的过程中,需将SILa的回路进行认证,因为SILa对SIF等级无要求,最终配置的回路一定能够满足SILa的要求。
4)电气回路的验证范围。电气之间的联锁很常见,如停泵、停压缩机、启动风机等;也有电气信号参与SIS的联锁,如电机电流、故障、运行等信号。
若是停电气设备,SIS是发出信号至配电回路的继电器,只要继电器动作导致配电回路停电即可实现要求,故该类的SIF回路的输出只包含配电回路的继电器。
若是启动电气设备,如有毒气体浓度过高时启动风机的联锁在SIS中实现,那么即使配电回路的继电器动作了也不代表电气设备就能启动,只代表电气设备的供电回路得电了,还需要考虑电气设备(如泵、风机)本身的失效,故该类SIF回路的输出不仅包括继电器,还包括电气设备、供电回路等。
电气设备的故障、运行等信号是通过配电回路的继电器或接触器等采集,SIF回路的验证范围也只到该继电器或接触器,SIF回路配置如图1所示。
图1 SIF回路配置示意
电气设备的电流如果是来源于电流变送器,那么SIF回路的验证范围就是电流变送器;如果是来源于变频器,那么SIF回路的验证范围就包括了变频器,变频器就是该SIF回路的输入子单元。
5)表决结构的绘制。SIL定级目前多采取保护层分析(LOPA)的方法,是在危险和可操作性分析(HAZOP)偏离分析的基础上,进一步确认现有保护措施是否能够将风险发生概率降低到企业可接受的频率范围内,故会将SIS联锁拆分成若干个回路[4]。
如硝化反应釜温度过高或搅拌失效可能导致超压,这里面就有3个偏离,分别是“温度过高”、“搅拌失效”、“压力过高”,LOPA分析中会得出3个SIF回路,见表1所列。
表1 反应釜SIF回路一览
在SIL验证时,根据SIF回路一览表就可以绘制3个分开的联锁逻辑图表决结构,分别对它们进行验证,温度、压力、电流联锁逻辑表决结构如图2所示。
图2 温度、压力、电流联锁表决结构示意
上述3个偏离的后果都是“压力过高”,所以如果从后果为导向的话,它们可以合并成一个SIF回路,目的都是为了防止反应釜压力过高,如图3所示。该SIF回路的传感器子单元是“1oo3”的表决结构,该结构和SIS联锁逻辑图更贴近。
以“压力过高”后果为导向的SIF回路的SIL等级同样为SIL1,因为后果严重性等级对应的可接受频率、场景的修正因子、独立保护层都未发生变化。所以像图2中分3个回路验证,或者像图3以后果为导向合并在一起验证都是可以的。从应用角度来说,图3的表决结构更符合实际使用场景,各个传感器之间不是互相独立的,搅拌器电流异常会导致温度过高,温度过高也会导致压力过高,它们之间是相互关联的,这样的“1oo3”结构也是冗余的一种实现方式。
图3 SIF回路表决结构示意
上述讨论了SIL验证范围的确定方式,根据现场实际情况,确定各SIF回路的仪表位号、选型、回路配置、逻辑关系后,SIL验证已经完成了一大半。
设备的失效数据是计算PFDavg的基础,在实际项目中会出现如下几种情况:
1)设备无安全功能认证。如果仪表设备严格按照IEC 61508进行设计、研发、制造,产品质量就会更加稳定,失效概率就会更低,那么设备在取得安全功能认证的过程中,认证对它是有促进作用的。如果取得认证只是为了满足招投标和目前安全监管理念的要求,产品并没有改善,反而增加企业负担。
从SIL验证角度来看,并非所有进入SIS的设备必须取得安全功能认证,在役装置中常见的如继电器、电流变送器、磁浮子液位计、分析仪等部分产品未取得功能安全认证,不管有没有取得功能安全证书,设备本身都是存在一定的失效概率,不同的是失效概率是通过何种概率统计的方法论计算出来的。当前对于在役装置或者新建装置中存在未取得安全功能认证的设备,可以根据使用经验讨论确定该品牌型号设备在工况下的平均无危险失效故障时间(MTTFD)[5],通过MTTFD值来换算检测出的危险失效概率λDD,并保守地认为未检测出的危险失效概率λDU=0。需要注意的是,如果切断阀的阀体和执行机构都没有安全功能认证,可以将它们合并成一个整体评估MTTFD值(电磁阀不包括在内)。
该方法需基于现场实际使用经验,因大部分企业并未建立完整的、有效的设备维修记录,故无法准确进行概率统计,在使用MTTFD值时需集体讨论认可,制定出一个合理的失效概率。同时SIL验证时SIF回路还需要对设备的系统性能力(SC)进行匹配,因根据经验或者维修记录的MTTFD值无法有效区分故障是随机硬件失效还是系统性失效,故使用MTTFD值计算时可默认设备的SC满足SIF回路的要求,因为它包括了硬件和系统失效。
2)失效数据的有效性。西方国家采取系统论、方法论的方式用文件证明设备的有效性,国内传统做法是以使用经验做为设备好坏的依据,这并没有什么优劣之分,只是不同的工作方式和思维模式,当然目前各行业还是逐步往“用书面文件记录行为”的方向发展。
书面化、系统化有利于促进工程管理水平的进步,但是同时尽信书不如无书,实际使用经验对工程管理也有重要意义。有些设备的安全功能认证证书上的失效数据值很低,和实际使用经验差距较大,因为设备的性能表现与现场的工况有密切的关系。还有部分设备只是为了取得证书方便投标和应付检查,通过非正规方式获得的证书,数据可信度是很低的。
在使用和现场有较大偏离的安全功能认证证书上的失效数据时,应谨慎对待,如果偏离较大,不能真实反映在该工况下SIF回路的失效概率,还不如采用MTTFD值代入计算。
对于重要的联锁回路,选用质量可靠的、冗余表决结构的设备往往比采取经过安全功能认证的单一设备更有效。
3)失效概率搜集困难。认证证书直接提供失效数据λDD,λDU的安全认证机构有Exida,上海仪器仪表自控系统检验测试所,ECM的部分证书,ESC,BV,Sira,risknowlogy等;但是有些机构如TÜV Rheinland,TÜV SÜD,TÜV NORD,SGS,机械工业仪器仪表综合技术经济研究所安全中心等,它们的认证证书和失效数据是分开的报告,需查询设备的安全手册或者在设备的产品手册中寻找详细的失效数据(如MTL,P+F,EJA等部分产品)。
4)证书直接给出PFDavg值。对于安全型逻辑控制器,一些生产制造厂商提供的设备失效数据中,直接给出各卡件在不同工况、测试条件下的PFDavg值;也有的认证机构如SWISS,ECM的部分证书,会直接给出PFDavg值或者每小时危险失效平均概率(PFH)值[6]。
当直接给出PFDavg值时,只需要根据项目情况选择合适的PFDavg值累加起来即可;如果给出的是PFH值,项目中SIS的运行模式是低要求模式,则要通过换算求得PFDavg值。
SIF回路的PFDavg值计算有多种方法,如可靠性框图(IEC61508.6)、简化公式法(ISA TR84.00.02)、马尔科夫模型、故障树模型等[7],均是通过建立模型、用数学计算来求解工程实际应用问题。
在应用中存在如下几个问题:
1)计算方法之间的比较。有些人追求计算的准确性,试图寻找一个精准的模型,能够准确地预测到SIF回路的失效概率。殊不知任何模型都有其假设条件,而且化工行业现场环境复杂,模型结果的有效性受工况、维护水平等多重因素影响,故过分追求计算结果的精确性意义不大。
2)计算软件的选择。市场上的SIL验证软件内置了一些失效数据库,也集成了计算方法,能够大幅提高SIL验证的效率。但是软件只是工具,软件不是做SIL验证的必要条件。
3)异型表决[8]。比如2个液位计,1个是雷达液位计,1个音叉开关,二者进行“1oo2”表决,因为它们的失效概率不一样,所以无法直接代入计算公式计算。对于这样的异型表决(不同设备型号),可以求其算数平均数,然后将平均数代入到公式内计算。
4)非常规的冗余结构计算。常规的冗余结构如:“1oo2”“2oo2”“2oo3”等,但是也有极个别项目,如仓库内的有毒气体探测器信号联动会出现如“3oo5”的结构,如反应器的温度联锁“2oo6”的结构。
对于“MooN”(M≥2,N≥3,M (1) 式中:M≥2,N≥3,M 通过公式(1)可以看出,“3oo5”不是简单的划分成1个“1oo2”和1个“2oo3”,它可以分解成多个子表决单元。 5)多重表决。如某设备顶部插入2个多支热电偶,每个多支热电偶先进行“2oo6”的表决,然后2个多支热电偶再进行“1oo2”的表决,其表决结构如图4所示[9],内部表决以后再表决一次的就是第二重表决。 图4 “2oo6”与“1oo2”组合的多重表决结构示意 多重表决常见的还是“1oo2”“2oo2”和“2oo3”,太复杂的多重表决多见于SIS联锁逻辑图,如果是从HAZOP的偏离出发去进行LOPA分析,一般得出来的结论只有一重表决。 对于第二重表决是“1oo2”的,可以将2个输入的PFDavg值相乘;如果第二重表决是“2oo2”的,可以将2个输入的PFDavg值相加;如果第二重表决是“2oo3”的,那么3个输入组成3个“1oo2”结构,两两相乘后再加起来即可。这是一个工程简化的处理方法。 SIL验证是一套系统的方法论,在做SIL验证项目时,发现各化工企业还存在诸多较为普遍的问题: 1)绝大部分SIL1的SIF回路验证是容易通过的;对于SIL2和SIL3,如果执行元件子单元较为复杂,则有可能计算通不过,但是这类型的回路较少。如果仅仅是为了知道配置的SIF回路满足SIL定级的要求,其现实意义并不大,而且计算模型中有太多可以人为调整的因素,会出现“为了通过而通过”的情况。 2)国家安监部门的文件将SIL验证做为工程是否能够通过验收的评判标准之一有待商榷,大部分企业花钱做完验证,只是为了应付检查,对于安全管理提升并没有促进作用。 SIS的周期性测试对安全生产至关重要,SIS平时处于休眠状态,有些设备已经有故障了但是并没有被检测出来,所以需要企业定期去校准设备、测试回路,并形成真实的、完整的、有效的测试记录,这个比项目投产后做SIL验证报告更有效[9]。 3)很多企业的文件管理都存在缺陷,缺乏专业的文档管理员以及系统的资料记录,新建项目的图纸、报告、设备清单等都会有不齐全的情况,服役多年老装置的文档更是残缺不全。现场变更以后,图纸、报告、资料并没有及时更新,导致资料和现场不一致。 4)企业缺乏专业的技术人员,依靠第三方技术服务力量完成设计、咨询等工作,但是受限于第三方技术服务公司人员的经验和水平,导致图纸、报告上错误百出,前后矛盾等。 5)安全检查对精细化工、储运等项目提出的问题较多,针对该类型的装置安全监管要求比较简单,联锁也很好理解;但是对大型联合装置,联锁、控制错综复杂,靠粗略式的检查是很难发现问题的。 6)危险往往发生在装置开、停车和检维修过程中,所以重视安全性的同时也应该重视可靠性,一味地增加SIS联锁可能会导致装置误停车概率上升,从而带来停车和开车阶段的风险。5 结束语