作者:高嗣晟 中国石油集团东北炼化工程有限公司 葫芦岛设计院
近些年石化行业频发重大安全事故,安监局发布的相关安全文件中均提到安全仪表系统(sis)。《中国石化安全仪表系统安全完整性等级评估管理规定(试行)》(中国石化安[2013]259号文)1.3条要求:“各单位应将建设项目安全完整性等级(sil)评估纳入建设项目设计管理,将在役装置sil评估纳入日常安全生产管理”;3.2条要求:“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能(sif)确定相应的sil,安全仪表功能满足目标sil要求”[1]。在sis设计过程中, sif回路中sil的定级和验算是设计的重点和难点。
1 sil定级
目前sif回路的sil的确定,主要依靠危险与可操作性分析(hazop)结合保护层分析(lopa)的方法来实现。
hazop分析是在安全专业人员主导下,工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。hazop分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”,沿“偏离”在系统中反向查找非正常“原因”,沿“偏离”在系统中正向查找不利“后果”,确定后果严重性等级[2]。hazop具体分析方法详见aq/t3049—2013《危险与可操作性分析(hazop分析)应用导则》[3]。
当hazop分析确定后果严重性等级为高风险或很高风险时,需进一步进行lopa分析,计算目前偏差导致的后果发生的频率,判断现有保护措施是否足够,建议措施是否能够有效地降低事故发生频率等。可通过增加sif回路保护层,降低事故发生概率,从而得出sif回路的sil。lopa具体分析方法详见aq/t 3054—2015《保护层分析(lopa)方法应用导则》[4]。
根据文献[4]中表e.2,引发偏差的初始事件,如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等,偏差导致的事故发生概率f1i≤1×10-1,假设
,年频率等级为1~10-1。
在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺,大多已配置基本过程控制系统(bpcs)、过程报警及操作员干预、安全阀、爆破片、防火堤等独立保护层中的一个或多个,根据文献[4]中表e.3,各独立保护层失效概率pfd≤1×10-1;引入点火概率、人员暴露、人员伤害、毒性影响等修正系数p,p=n×10-1,n=1~10,偏差导致的事故发生概率fci=f1i×pfd×p≤n×10-3,年频率等级范围为10-2~10-3。
为了方便分析,假定偏差导致的后果严重性为最严重等级的5级,事故发生年频率等级为n×10-3,根据表1 lopa风险评估矩阵可得知,事故风险为高风险,需采取进一步的保护措施。
可在hazop分析的节点增加sis独立保护层,引入sil1(pfd=1×10-2)的sif回路时,后果发生的概率fci=n×10-3×1×10-2=n×10-5,年频率等级为10-4~10-5,此时根据表1可知,5级后果的风险等级为中风险;当引入sil2(pfd=1×10-3)的sif回路时,后果发生的概率fci=n×10-3×1×10-3=n×10-6,年频率等级范围为10-5~10-6,5级后果的风险是中风险;当引入sil3(pfd=1×10-4)的sif回路时,后果发生的概率fci=n×10-3×1×10-4=n×10-7,年频率等级范围为10-6~10-7,5级后果的风险是低风
险。
上述sil分析中选取了最严重的风险等级、最高的初始时间发生概率、最高的独立保护层失效概率,可以看出sil1的保护层即可将风险降为中风险,中风险是可选择性的采取行动;当采用sil3保护层时可将风险降为低风险,低风险不需要采取行动。若风险等级小于5级或其他独立保护层的失效概率小于1×10-1时,采用sil2保护层时可将风险降为低风险,低风险不需要采取行动。因此,sis中,大部分sif回路的sil可定在1级;少数sif回路的sil可定在2级;极少数sif回路的sil定为3级。
2 iec 61508 中sil验算方法
iec 61508[5]中的sil验算方法适用于已取得sil认证的仪表、控制逻辑器、执行元件等,常用的品牌型号产品认证参数见表2所列,其中,λsd为被检测到的安全故障率;λsu为未被检测到的安全故障率;λdd为被检测到的危险故障率;λdu为未被检测到的危险故障率;λs为安全失效故障率;λd为危险失效故障率(故障率的单位为fit,1 fit=1×10-9);dc为诊断覆盖率;sff为安全失效分数。计算公式如下所示[6]:
式(1)中λsd,λsu,λdd,λdu可从仪表设备sil认证证书中获取。根据gb/t 50770—2013《石油化工安全仪表系统设计规范》[7]中4.1.3条规定:“通常石油化工工厂和装置的安全仪表系统工作于低要求操作模式”,故下文中的参数均是低要求操作模式下的认证参数。
通过式(1)的计算可得出安全失效分数,而表3和表4列出了硬件的sil,其中a类仪表有浪涌保护器、液位开关、安全栅、电磁阀、阀体、执行机构、阀门定位器等,b类有安全型控制逻辑器、现场变送器等。
结合表2,表3和表4可以看出,通过sil认证的温度变送器、压力变送器、流量计、液位计等b类子系统sff多在90%~99%,符合sil2的要求,可以通过冗余配置达到sil3。而a类子系统sff在90%~99%已满足sil3要求。
sis投入运行后需进行周期性的离线维护,某些故障或失效只能通过离线的人工测试才能发现,例如变送器的膜盒损坏、引压管的堵塞、测量精度、阀门的腐蚀内漏、阀芯的卡死等[810]。大多数sis设备的检验测试在装置的停车大修期间进行。在低操作要求模式下,检测平均时间间隔t1有3 d,6 d,1 a,一般选用t1=1 a,平均恢复时间mttr=8 h。
工程设计中,常见的仪表组合有“1oo1”,“1oo2”,“2oo3”,通过下列步骤分别计算组合后的pfdavg。
1) 计算通道等效停止时间tce:
式中:βd——具有共同原因已被检测到的失效分数;β——具有共同原因没有被检测到的失效分数,β=2βd。
β的值可根据gb/t 20438.6—2006[6]/iec 61508: 2000中的表d.1评分获得,β取值有1%,2%,5%,10%;对应的βd分别为0.5%,1%,2.5%,5%。将上述数据分别代入式(5)中验算,结果相差无几,且β评分方法繁琐,为了方便工程计算,现场仪表可统一将β取值为10%,βd取值为5%。
5) 计算“2oo3”时的pfdavg:
pfdavg=6[(1-βd)λdd+(1-β)λdu]2tcetge+
βdλddmttr+βλdut12+mttr(6)
将表2内的认证参数代入式(2)~式(6),可得出分别在“1oo1”,“1oo2”,“2oo3”情况下的pfdavg,并将该值填入表2中。
6) 分别计算sif回路中的传感器、逻辑系统、执行元件等的pfdavg后,计算sif回路系统的平均失效概率pfdsys:∑pfdsys=∑pfds+∑pfdl+∑pfdfe(7)
式中:∑pfds——传感器子系统平均失效概率;∑pfdl——逻辑子系统平均失效概率;∑pfdfe——执行元件子系统平均失效概率。
因sis的设计为故障安全型,电源的失效会将装置带到安全位置,故系统平均失效概率不考虑电源失效。
3 isa tr 84.00.02 标准中sil的验算方法
文献[11]中sil的计算方法相对简单,未经sil认证的普通仪表采用iec 61508计算时,λsd,λsu,λdd,λdu无数据可查,此时可通过文献[11]进行sil验算,步骤如下所示:
1) 计算危险失效故障率λd: λd=1/mttfd(8)式中: mttfd——平均危险失效前时间,实际验算过程中精确的数值可从供货商处获取仪表平均故障时间mtbf, mttfd=mtbf-mttr,因mttr时间很短为8 h,则mttfd≈mtbf[12]。在mttfd无数据可循的情况下,可参考文献[11]中part 1 表5.1中5个工厂经验值,详细数据见表5所列。
表5常规仪表平均危险失效前时间a
因λdu=λd×(1-dc),可假设未经过sil认证的常规仪表诊断覆盖率dc=0,则λdu=λd。
5) 根据式(7)计算sif回路的pfdavg。
4应用实例
假设p&id中某节点需设置sif回路,当采用差压变送器测量储罐液位时,液位高高或压力高高时联锁停进料切断阀,如图1所示,该sif回路经hazop,lopa分析后得出sif回路的sil=2。
1) 当现场采用未经sil认证的普通传感器和执行元件“1oo1”时,sif回路的pfdavg见表6所列,∑pfdsys=2.700 5×10-2,sif回路sil=1,不满足sil2的要求。
从表6可以看出,sif回路的pfdavg中现场变送器和执行元件占了大部分的比例,安全栅、继电器、安全型控制逻辑器占比例较少,需降低现场变送器和执行元件子系统的pfdavg。
现场变送器采用“1oo2”,设置双压力变送器和液位变送器,如图2所示。执行元件采用“1oo2”,设置双切断阀,此时sif回路的∑pfdsys=4.45×10-4<1×10-2,满足sil2的要求。文献[11]中指明,该规范中的计算步骤适用于sil1和sil2的sif回路验证,除非完全掌握简化公式的计算方法和限制条件才可以进行sil3的sif回路验证。
2) 当sif回路的现场传感器及执行元件均采用取得sil认证的仪表时,sif回路pfdavg见表7所列。
当变送器、不带pvst功能的电磁阀、气动切断球阀采用sil2认证的产品,与sil3认证的sm系统、安全栅、继电器构成的“1oo1”sif回路∑pfdsys=1.503×10-3,sif回路sil=2;当采用冗余的sil2认证的变送器、电磁阀、气动切断球阀、安全栅、继电器,与sm系统构成的“1oo2”sif回路∑pfdsys=8.22×10-5,sif回路满足sil3的要求。
当电磁阀带pvst功能时,其“1oo1”时pfdavg查表2为1.503×10-5,代入到表7中,采用sil2认证的变送器、气动切断球阀,与sil3认证的sm系统、安全栅、继电器、带pvst功能的电磁阀构成的“1oo1”sif回路∑pfdsys=6.980 3×10-4,sif回路满足sil3的要求。
3) 当检测器子系统采用未经安全完整性等级认证的普通仪表“1oo2”,执行元件子系统采用经过安全完整性等级认证的不带pvst功能电磁阀、气动切断球阀“1oo1”,如图3所示。∑pfdsys=1.029×10-3,满足sil2的要求。
5结论
sif回路的sil验算需大量的数据支撑,准确数据获取不易,对于工程设计而言,可粗略的得出如下结论,方便快速验算:
1) 对一个sif回路的pfdavg进行分解,传感器子系统约占35%,安全型控制逻辑器约占15%,执行元件子系统约占50%。
sil2认证的仪表“1oo1”结构pfdavg在10-4左右,“1oo2”结构pfdavg在10-6左右,“2oo3”结构pfdavg在10-5左右,如没有具体数据可参考上述数量级进行粗略计算。
2) 用于紧急停车功能的安全型控制逻辑器、安全栅、浪涌保护器、继电器宜选sil3认证的产品;对于装置规模较小、联锁简单、事故后果可控的中小型生产企业若lopa分析所有sif回路sil均为1时,可选用sil2认证的安全型控制器、安全栅等。
3) 采用质量可靠(mtbf≥50 a)、应用广泛、未取得sil认证的传感器、执行元件子系统构成的“1oo1” sif回路,在传感器子系统和执行元件子系统中仪表数量较少的情况下,基本可满足sil1的要求。
采用经sil认证的仪表、或未经sil认证的普通仪表组成“1oo2”,“2oo3” sif回路、或经过sil认证的执行元件与未经过sil认证的“1oo2”,“2oo3”传感器子系统混合型的方式来降低回路的pfdavg以满足sil2的要求。采用经sil认证的传感器子系统与带pvst功能的执行元件配套使用可达到sil3的要求。
4) 当传感器子系统采用“1oo2”,“2oo3”的方式时,仪表的取源部件不应共用,以免因取源部件的堵塞导致sif回路的失效。
5) gb/t 50770—2013《石油化工安全仪表系统设计规范》中,sil1的回路中测量仪表、控制阀可与bpcs共用;sil2的回路中测量仪表、控制阀宜与bpcs分开;sil3回路中的测量仪表、控制阀应与bpcs分开[7]。
从lopa分析来看,bpcs与sis是两个独立的保护层,如sif回路中的测量仪表、控制阀与bpcs共用,测量仪表或控制阀的失效可能导致bpcs和sis的同时失效,破坏sis保护层的独立性。
因此,在设计过程中sis中sif回路的检测仪表、控制阀不建议与bpcs共用,不推荐采用调节阀配电磁阀的方式进行控制、联锁。
注:本文转载自自控中心站微信公众号,如有侵权请联系删除。
