安全仪表系统设计与应用
简介:功能安全(Functional safety)是指与过程和基本过程控制系统(BPCS)有关的整体安全的组成部分,它取决于安全仪表系统(SIS-Safety Instrumented System)和其它保护层的正确功能执行。
安全仪表系统(SIS)是用来实现一个或几个仪表安全功能的仪表系统。SIS可以由传感器、逻辑解算器(控制器)和最终元件的任何组合组成。
安全生命周期(Safety life cycle)指的是从项目概念阶段开始到所有的仪表安全功能不再适用时为止所发生的、包含在仪表安全功能实现中的必要活动。
安全完整性(Safety integrity)是安全仪表系统在规定时段内、在所有规定条件下满足执行要求的仪表安全功能的平均概率。安全完整性由硬件安全完整性和系统安全完整性组成。
安全完整性等级(SIL-Safety Integrity Level)是用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级,SIL4是安全完整性的最高等级,SIL1为最低等级。安全完整性等级的划分见表1-1 安全完整性等级(SIL)划分表。
表1-1 安全完整性等级(SIL)划分表
引言
在生产工艺复杂、危险性高的过程工业领域,安全一直是企业最为关注的话题。为确保企业生产过程的安全,安全仪表系统(SIS-Safety Instrumented System)已越来越多地得到重视,并广泛应用于化工,石油炼制,天然气集输净化及管道输送等不同行业的工艺生产装置,用于保护人员、设备、环境及财产安全。
本文通过安全仪表系统在过程工业领域的应用,详细介绍安全仪表系统的概念及标准、安全生命周期模式、安全完整性等级的确定等内容。谈及安全仪表系统,就首先要了解一下与安全相关的基本概念。
1 安全仪表系统相关标准
为了促进和规范与安全相关的控制和保护系统的设计、制造和应用,国外一直致力于制定安全技术的相关标准。欧洲国家处于领先地位,最早的安全相关系统的标准于二十世纪七十年代诞生在德国。此后,随着仪表控制技术和控制系统可靠性技术的发展,为适应各种工业部门对安全相关系统性能要求的不断提高,有关安全相关系统的标准也不断更新和完善,目前国际上常见的基本标准有:
IEC61508Funcitional safety of electrical/electronic/programmable electronic safety related systems;
IEC61511Functional safety :Safety instrumented systems for the process industry sector;
ANSI/ISA-84.01-1996 Application of safety instrumented systems for the process industries (替代标准ANSI/ISA-84.00.01-2004);
DIN V 19250 Programmable safety system。
德国DIN V 19250标准和美国ANSI/ ISA-84.01-1996标准是过程工业安全领域具有重要意义的早期的两个标准,尽管这两个标准已经作废,但对标准内容的了解有利于理解相关功能安全标准。
目前,IEC 61508/ IEC 61511已经转换为国家标准,GB/T 20438-2006《电气/电子/可编程电子安全相关系统的功能安全》等同采用IEC 61508,GB/T 21109-2007《过程工业领域安全仪表系统的功能安全》等同采用IEC 61511-2003。
1)IEC 61508 《电气/电子/可编程电子安全相关系统的功能安全》
该标准作为最权威的功能安全基础标准,主要用于规范行业相关标准的制定,其涵盖了功能安全各阶段所从事活动的基本要求和技术框架。
IEC 61508标准由7个部分组成,1~4部分包括标准需求(规范性要求),5~7部分包括开发过程指导和示例(资料性内容)。
IEC 61508标准的两大主题:安全功能和功能安全。为了实现功能安全的要求,建立了两大体系:技术体系和功能安全管理体系。
IEC 61508中有两个重要的概念,一个是安全完整性,一个是安全生命周期。如何保证系统安全完整性是功能安全标准对安全控制的一大贡献,它考虑了从系统的前期分析设计到后期安装调试、维护保养等各方面的相关技术/措施的采用的整体安全生命周期管理模式。
安全完整性不仅仅是由系统的设计和实现决定的,同时还取决于系统的安装、运行和维护等活动。因此,整体安全生命周期不仅覆盖安全相关系统的设计,还包括安全相关系统的规划、设计、安装、调试、运行、维护和停用等所有的主要阶段。整体安全生命周期的基本思想是与功能安全相关的所有活动都按一个有计划的、系统的方法进行管理。
2)IEC 61511 《过程工业领域安全仪表系统的功能安全》
IEC 61511是IEC发布的第一个基于IEC 61508的特定行业——过程工业领域的功能安全标准。它适用于过程工业广泛的行业领域应用,如化工、石油炼制、油气开采及储运等,核工业除外。
针对基于使用电气(E)/电子(E)/可编程电子(PE)技术的安全仪表系统,IEC 61511中规定了逻辑解算器在设计和使用过程中应采用的基本原则,以及构成安全仪表系统的传感器和最终元件所应达到的最低标准,并提出了达到这些最低标准的安全生命周期活动的方法,即对过程工业中安全仪表系统的规范、设计、安装、运行和维护的要求进行了标准化,对安全仪表系统的系统、硬件、软件提出要求。
IEC 61511对安全仪表系统的安全要求规格书(包括安全功能要求和安全完整性要求)的制定、设计和实施工程、安装、操作、维护等环节给出了明确要求,确保工艺过程处于安全状态。
2 安全生命周期
采用系统化的安全生命周期方法,确保了SIS功能安全设计所有必需的活动要做且做到位,以及以合理的顺序去做。
IEC 61511中的安全生命周期模型包括三个大的阶段:分析、工程及操作运行。IEC 61511规定了5个功能安全评估,一系列活动完成并达到这几个关键节点时,完成阶段性功能评估。SIS安全生命周期阶段和功能安全评估阶段见图3-1。
2.1 危险和风险分析
危险和风险风险分析的总体目标,是辨识安全功能及其风险降低的绩效水平(SIL要求),确保工艺过程安全。
危险和风险分析可以采用任何行之有效的技术,辨识出在所有合理的、可预见情形(包括故障状态和误操作)下,可能发生的危险和危险事件。
在过程工业典型的工程项目中,危险和风险的初步评估应在基本工艺流程设计(初步设计)的早期进行。常用的危险分析技术和方法包括:PHA小组安全审查、过程危险的初始分析、Checklist、What if/Checklist、HAZOP、失效模式和影响分析FMEA等。风险分析技术和方法包括:FMEA、故障树分析FTA、事件树分析ETA、因果分析CCA、风险的定量评估QRA,以及LOPA等。
2.2 将安全功能分配到保护层
在确定SIS及其SIL时,首先要考虑存在的其它保护层及其提供的保护能力。如果需要SIS保护层,才确定仪表安全功能(SIF)的SIL。
在实践中,只有当采用“固有安全”设计或其它技术的系统存在问题时,才考虑安全功能部分分配给安全仪表系统。当将安全功能分配到SIF时,要确定它是要求操作模式还是连续模式。
2.3 SIS安全要求规范(SRS)
制定安全要求规范是整个SIS安全生命周期中最重要的活动之一。它为SIS的系统设计、逻辑控制器的硬件集成和软件组态、安装和调试,以及开车运行等提供工程实践准则。SIS的最终验证(SAT)应按照安全要求规范进行。
2.4 SIS的设计和工程
根据SRS,选择SIS部件或子系统,满足SRS指定的技术要求,及满足特定的验收准则要求。
SIS的设计和工程主要涉及SIS与SRS要求的符合性要求、故障检测的系统行为要求、硬件故障裕度要求、部件或子系统的一般选型要求、操作员接口要求、维护和工程接口要求、通信要求及维护或测试设计要求等内容。
2.5 SIS安装和调试
根据设计规格书和图纸要求安装SIS及调试SIS使其达到最终的安全验证条件。制定详细的安装和调试的各项活动,及步骤、措施和技术要求等。
当实际的安装与SRS要求有差异时,应进行评估,也就是对安全没有影响,相关的设计文件可升版为“竣工图”;如果对安全有负面影响,就要对安装进行相应的修改。
2.6 SIS的操作和维护
周期性的离线检验测试是SIS投入操作运行后重要的维护活动,是保持SIF持续地满足安全完整性要求的保障。
在通常情况下,绝大多数SIS设备的检验测试,安排在装置的停车大修期间进行,也就是说,设计要求的检验测试时间间隔(TI)大于等于装置的停车检验时间间隔。如果为满足PFD值计算要求,需要TI短于装置的停车检修时间间隔,就要设计该SIS设备的旁路等措施,以便不影响装置运行和所在SIF安全操作的前提下,从在线状态脱开。
2.7 SIS修改
在对SIS进行任何修改之前,应有相应的授权和控制管理步骤和程序。应对修改进行功能安全影响分析,修改活动应形成文档。
2.8 SIS停用
在对SIS进行任何停用之前,应有相应的授权并按照要求的步骤和程序进行管理控制。应对停用进行功能安全影响分析和评估,影响分析的结果,用于指导相关活动。
3 安全仪表系统设计
传统的SIS工程设计,采用“惯例”的设计方式,即参考同类型工艺过程的以往设计经验和模板,采用经验性的设备选型和配置方案,约定俗成的完成工程图纸和文档。事件证明,这种设计方式有很多好处,例如设计过程简单、消耗的人力物力较少等,但是其缺点在于一方面往往是设计过于保守和安全裕度大,另外是某些细节上设计不足或设计不当。
IEC 61508/IEC 61511是基于“绩效考核”的设计理念:通过危险和风险分析,确定对SIS的绩效—安全完整性(SIL)的要求,并以此为基础,完成工程设计、安装和调试,以及操作和维护。
对于不同的行业有各自的特殊应用要求,新建项目与改扩建项目也各有特点,因此,本文仅根据某工程的实际案例讨论SIS的工程设计思路,无法针对其它具体的现实应用。
3.1 SIF的SIL确定
SIS的SIF回路的安全完整性等级(SIL)是通过评估SIS功能失效后的风险而确定,这些风险包括人员伤亡、环境破坏以及经济损失(某些情况下,需要考虑社会影响和政治影响等宏观因素)。
基于IEC 61508/IEC 61511应用风险评价矩阵和保护层分析(LOPA-Layer of Protection Analysis)方法,来评价工程各仪表安全功能回路所需的安全完整性等级(SIL)。LOPA方法SIL定级矩阵见图4-1。
图 4-1 LOPA方法SIL定级矩阵
应注意的是,矩阵中具体等级可根据工程经验、可接受风险水平等因素进行适当调整。
1)人员伤亡风险
表4-1 人员伤害风险参数分级及说明
2)环境破坏风险
表4-2 环境破坏风险参数分级及说明
3)经济损失风险
表4-3经济损失风险参数分级及说明
危险事件的发生频率通常与设备失效频率相关,以下的分析基础数据结合了美国CCPS在“保护层分析(LOPA)”中提供的工艺系统中各类安全保护层的失效频率和PDS数据手册中的数据作为“风险图SIL定级方法”中评估“危险事件发生频率(W)”的参考数据。
表4-4 初始事件/保护层失效频率
通过风险辨识后,确定该工程中仪表安全功能回路SIF-20的触发原因包含阀门和人员的误动作,从而导致造成压缩机出口下游管道超压(需要说明是,压缩机出口管道设计压力低于压缩机橇内设计压力)。确定初始事件频率后,利用保护层的方法,首先确定其它保护成降低风险的能力,如“附加独立保护层”,在这里的独立保护层是指安全阀。
确定风险频率和风险后果严重性即可利用图4-1矩阵查询的方式确定SIF-20回路的SIL等级为SIL1。同理,可确定SIF-24回路的SIL等级为SIL2。
表4-5 SIF-20回路 SIL定级记录表
表4-6 SIF-24回路 SIL定级记录表