安全仪表系统SIS的SIL评估.docx
《安全仪表系统SIS的SIL评估.docx》由会员分享,可在线阅读,更多相关《安全仪表系统SIS的SIL评估.docx(11页珍藏版)》请在冰豆网上搜索。
安全仪表系统SIS的SIL评估
安全仪表系统(SIS)的SIL评估
摘要:
主要论述安全仪表系统及进行SIL评估的必要性,并作了简单的可靠性计算,随着安全仪表系统工程的发展,在安全仪表系统的设计过程中,对安全仪表系统的SIL等级进行定量分析将是重要的。
1 引 言
随着石油、化工装置的经济规模日趋大型化,生产装置的密集程度越来越高,对操作、控制及安全的要求也越来越严格。
石化装置的产品一般都属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。
作为过程工业安全的重要保障,确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。
2 安全仪表系统
安全仪表系统(Safetyinstrumentedsystems,SIS)是一种自动安全保护系统,它是保证正常生产和人身、设备安全的必不可少的措施,它已发展成为工业自动化的重要组成部分。
在过程工业中,安全仪表系统的安全性对于事故的影响十分巨大,由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失,因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。
统计资料表明,过程工业中,由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。
安全仪表系统设计不当,一种可能的后果是该跳车时不跳,造成拒动作;另一种可能的后果是不该跳车时跳车,造成误动作。
拒动作会造成严重甚至灾难性的后果,误动作的直接后果是装置停车,造成巨额的经济损失。
根据IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器、执行器组成的,能够行使一项或多项安全仪表功能(Safetyinstrumentedfunction,SIF)的系统。
每一个安全仪表功能针对特定的风险对生产过程进行保护[1]。
图1为一典型的安全仪表功能,它的功能是为了防止压力容器V100中压力过高而发生爆炸等危险事故。
此SIF由压力变送器、一个逻辑控制器和一个阀门组成,在DCS(Dis-tributedControlSystem)对于压力控制已经失效的情况下,容器内压力持续升高,达到压力变送器最高(比DCS控制压力预设值更高)的预设值时,压力变送器将其转换成合适的信号传送给逻辑求解器,由逻辑求解器经过运算发出控制指令,关闭阀门,停止对容器内碳氢化合物的供给。
这就是一个完整的安全仪表功能。
在整个SIF的实现过程中,其中的三 个环节中的任何一个失效将导致SIF的失效,对于此例而言,如果SIF失效,那么系统将继续向容器V100中输送碳氢化合物,容器内的压力将继续升高,极有可能造成容器泄漏、爆炸等严重的后果,导致容器损坏、装置停产、人员伤亡等严重损失。
所以对安全仪表系统进行完整性评估,定量的可靠性计算是十分重要和有效的途径,以防止各类事故的发生。
3 安全仪表系统与过程控制系统的区别
过程控制在石油、化工、电力、冶金等部门有广泛的应用。
20世纪50年代,过程控制主要用于使生产过程中的一些参量保持不变,从而保证产量和质量稳定。
60年代,随着各种组合仪表和巡回检测装置的出现,过程控制已开始过渡到集中监视、操作和控制。
70年代,出现了过程控制最优化与管理调度自动化相结合的多级计算机控制系统。
80年代,过程控制系统开始与过程信息系统相结合,具有更多的功能。
而在今天,过程控制系统开始与安全仪表系统更多地结合在一起,即:
对于操作监视层,如安全仪表系统的过程变量值、报警和事件记录、SOE以及故障诊断信息等集中在DCS画面上进行显示,而在控制和安全管理层,DCS和SIS分别配置独立的控制单元实现过程控制和安全联锁的独立操作。
基本过程控制系统是执行常规生产功能的控制系统,过程控制系统以表征生产过程的参量为被控制量使之接近给定值或保持在给定范围内的自动控制系统。
这里的“过程”是指在生产装置或设备中进行的物质和能量的相互作用和转换过程。
表征过程的主要参量有温度、压力、流量、液位、成分、浓度等。
通过对过程参量的控制,可使生产过程中产品的产量增加、质量提高和能耗减少。
一般的过程控制系统通常采用反馈控制的形式,这是过程控制的主要方式。
基本过程控制系统与安全仪表系统在功能上完全独立。
基本过程控制系统执行基本过程控制功能以达到生产过程的操作要求;安全仪表系统则是监视生产过程的状态,判断危险条件,防止风险的发生或者减轻风险造成的后果。
基本控制系统是主动的、动态的;而安全仪表系统则是被动的、休眠的。
在大部分时间,装置的正常运行都是靠基本控制系统,而在这时的安全仪表系统是没有任何作用的,只有在发生危险且基本控制系统已经无法控制时,安全仪表系统才发挥作用[2]。
图2可以看到IEC61511对安全防护的分层描述[1]。
从IEC61511对安全防护的分层描述,可以清楚地看出过程控制系统和安全仪表系统的区别。
值得一提的是,按照IEC61511的分层描述,安全层次应包含防护和减灾两个层次,事实上,在评估一个装置或单元是否应使用安全仪表系统时,最简单的一个方法就是计算其事故发生的可能性(ESD系统可使得该可能性降低)乘上事故发生的后果(FGS系统可使得事故后果最小化)。
在国外大多数炼油和化工厂在实施安全仪表系统时,均使用SIL2/3等级的安全仪表系统来实现ESD和FGS的功能,而在中国,除少数中外合资项目和中海油的海上平台项目,大多数项目至今未考虑采用具备SIL等级的系统来实现FGS功能,同国外同行存在较大差距,也是同很多安全规范相违背的。
基本过程控制系统与安全仪表系统都有可能发生失效,对于基本控制系统来说,其大部分的失效都会在运行过程中很明显地表现出来,包括温度、压力、流量等的不正常,那么必定会影响生产过程的运行,由此产生的故障现象马上会展现出来。
而相反,安全仪表系统的失效就不会太明显,这是完全由安全仪表系统的特性所决定的,由于它长时间处于“休眠”状态,无法观察或发现它是否出现了故障或者失效。
因此,确定休眠系统是否正常工作的唯一方法,就是对该系统进行周期性的诊断和测试,所以安全仪表系统需要人为地进行周期性离线或在线测 试,而有些安全系统则本身带有内部的自诊断测试系统。
基本过程控制系统失效后由安全仪表系统对装置进行保护,如果安全仪表系统再失效,则往往导致极其严重的后果,所以提高安全仪表系统的可靠性尤为重要。
展望未来基本过程控制系统与安全仪表系统的发展,大多数的过程控制工业领域的人士认为集成控制安全系统的广泛应用将是大势所趋。
实际上,美国ARC咨询集团有限公司已把新型集成控制安全系统看作一项顶尖自动化技术和2007年的潮流所在。
4 安全仪表系统可能存在的问题
安全仪表系统在整个石油、化工行业都有着广泛的运用,其正常运行可大大降低装置的风险,降低经济损失,保障人员安全等。
但安全仪表系统也存在一些问题,主要包括:
安全不足、误跳车、故障率过高和缺乏合理的维护手段。
根据国外公司的数据统计显示所有的安全仪表系统中,联锁合理的仅占40%~45%。
4.1 联锁拒动作
所谓联锁拒动作,就是在装置需要联锁进行动作以降低风险或保障安全的时候,联锁功能失效,导致在需要时无法执行指定的安全功能,引发重大的事故发生,是最危险的一种情况。
如果联锁的拒动作概率过高,那么可以认为联锁无法适应装置的工艺及操作条件对安全的要求。
前面已经介绍过整个联锁功能要动作要通过三个组成部分,即传感器、逻辑控制器、执行器。
为了减少系统拒动作的概率,除了要选择可靠性较高的元器件以外,还可以适当地增加系统的冗余,比如本来传感器是1oo1的,即根据一个传感器的情况来确定是否进行联锁动作,现改为1oo2,即只要2个传感器中有一个报警或正常发出信号,联锁即动作,这样就可以提高系统的可靠性。
对于执行器也是一样,以阀门为例,如果需要截止阀切断给料,如果只有一个阀门,阀门由于长时间没有动作,很有可能会拒动,但如果有两个阀门,同时拒动的可能性就会大幅下降。
增加系统的冗余可以明显减小联锁拒动作的概率,但同时也会提高误动作的概率。
4.2 联锁误动作
所谓联锁误动作,就是实际整个装置运行正常,而由于安全仪表系统本身元器件失效而导致不必要的非计划停车损失。
频繁的误动作会导致对联锁可靠性信心的降低,有些企业会为了保证生产而拆除一些联锁,有可能埋下隐患;频繁停车与启动增加了对设备的冲击及风险,而且许多装置的开车物料损失、停产损失都是非常大的。
与联锁拒动作相同,也可以通过改变传感器和执行机构的布置和取法来减少误动作的次数。
例如原本传感器是1oo2方式,即只要两个中一个触发信号即动作,如果改为2oo2的话,则变为必须两个同时触发才会动作。
这样就可以避免传感器故障引起的误动作。
同时,也可以对传感器的失效状态进行设定,可以设定为非故障安全型,这样也可降低误跳车的概率。
总之,一个安全仪表系统必须要根据实际情况和各种失效后果,对联锁拒动作和误动作的概率进行定量计算,如果还不能满足公司的各类风险等级要求,必须对联锁进行重新设计或修改。
5 安全仪表系统的可靠性计算方法
一般地,安全仪表系统都是根据工程设计人员的经验进行定性的设计,往往存在着以上所说的这样或那样的问题,故安全仪表系统有必要从定性分析转换到定量分析上来。
根据IEC61511要求,根据安全仪表系统的可靠性模型和设备的失效率数据才能对安全仪表系统进行定量的可靠性分析。
可靠性的计算是安全仪表系统定量评估中非常重要的一个环节,计算方法选择的合理性直接影响定量分析结果的可靠性。
安全仪表系统的失效可能导致其不能对危险状况作出响应,不能完成保护功能;相对而言,安全仪表系统的失效也有可能造成系统的误跳车,使得生产中断。
不同的失效方式被统称为失效模式。
根据产品在系统中的功能,失效模式与影响分析方法(FailureModeandEffectAnalysis,FMEA)能够确定产品失效所造成的系统失效的失效模式,因此,使用失效模式与影响分析方法(FMEA)分析研究产品使用过程中实际发生的失效、原因及其影响,根据失效模式、失效判据和失效影响等计算产品的失效率,并按产品的失效后果分别计算安全失效率和危险失效率,为系统可靠性指标的计算奠定基础。
可靠性建模的主要方法有三种:
可靠性框图、故障树分析、马尔可夫模型。
5.1 安全仪表系统定量评估方法
从经验的积累,到标准的制定,到广泛认可,石化装置安全完整性技术已成为确保石化装置安全的最重要技术手段。
作为一种最新的安全管理技术,过程工业安全仪表系统(SIS)定量安全评价(SafetyIntegratedLeve,lSIL)是在RBI之上的基于风险的资产管理技术,可以为提高企业安全水平及经济效益起到重要的促进作用。
可见,接轨国际最新的安全研究成果,在我国开展过程工业安全仪表系统定量安全评定,必将大大促进我国石化行业安全生产水平的提高,是今后安全管理的发展方向。
安全仪表系统定量安全评定的内容主要包括对安全仪表系统内硬件、软件的安全功能实现情况作出定量的评定结果;在安全仪表系统的生命周期内,评定内容包括过程工业存在的风险分析、失效模式及影响分析(FailureModeandEffectAnalysis,FMEA),安全仪表系统综合安全等级要求,安全仪表系统安全功能的分配、安全仪表系统软硬件功能安全性评定、安全仪表系统设计、安装、改造及处置过程中的安全性评定、操作规程、文档的安全检查、人员配置安全检查等方面[3]。
整个SIL评估过程的流程图如图3所示。
5.2 安全仪表系统定量分析实例
在安全仪表系统定量分析中,有几个比较重要的指标:
安全失效分数(SFF)、平均失效概率(PFD)和安全完整性等级(SIL)[4],下面通过两个实例来简单介绍一下上述指标的计算方法,和保证整个系统安全完整性等级的几种方法。
IEC61508标准规定了安全完整性等级(SIL)与系统的结构约束及诊断之间的关系,如表1
表1中,硬件故障裕度N表示N+1个故障将导致安全功能的丧失。
如一个安全系统需要满足SIL3等级,在该系统的安全失效分数为90%~<99%时,其硬件的故障裕度至少应为1,即该系统结构至少应选择1oo2,但当一安全系统的安全失效分数≥99%时,其硬件的故障裕度可以为0,则该系统结构选择1oo1即可满足SIL3等级。
我们以目前市场占有率最高的TMR系统Tri-conex公司的TriconV10系统和市场占有率最高的QMR系统Honeywell公司的SM系统(以前名称为FSC)为例来说明该问题:
按照IEC61508标准,计算一个系统的安全失效分数如下:
我们以一个小规模系统(配置一块模拟量输入卡件/一块数字量输入卡件和一块数字量输出卡件)为例来说明。
表2列出了根据Triconex公司和Honeywell公司的TUV报告提供的数据。
根据上述计算结果可以看出TriconV10系统在故障裕度至少应为1的情况下,能保证系统安全完整性等级为SIL3级,即其系统降级使用情况为3-2-0。
而SM系统在其配置单控制器和单IO卡件时,系统也能满足SIL3等级。
以上简单介绍了对逻辑控制器的安全等级评估的一种方法,下面再举一个计算整个系统安全完整性的实例:
假设一个SIL2传感器的PFD=0.005(SIL2),SIL3逻辑控制器的PFD=0.0005(SIL3),而一个SIL1输出阀门的PFD=0.05(SIL1),将他们连接成一套系统后,系统的PFD=0.005+0.0005+0.05 =0.0555,只能满足SIL1级。
参见图4。
从上面的计算结果我们知道当在一个安全回路上,如果传感器、逻辑控制器和输出阀门中任一不满足SIL3等级时,整个安全回路的SIL等级一定达不到SIL3等级的设计要求。
然而,对于大部分用户来说,如果要求在工厂的建设中采购大量的满足SIL3等级的变送器和阀门显然不符合实际,不光会带来初期投资的大幅度增加,而且后期维护的费用也非常高。
那在投资增加不大的情况下,有没有其它方法来实现整个回路的SIL3安全等级呢?
答案是肯定的。
下面我们来分析一个具体的安全回路。
假设传感器单元的每小时故障率为0.00005,诊断覆盖率为90%,平均故障修复时间为8h,维护时间为12个月一次。
则计算它的PFD为0.011,安全完整性等级为SIL1级。
假设一种极端情况,如果将该传感器单元的维护时间改为1个月一次(当然,在实际使用过程中很难做到),重新计算它的PFD值为0.00109,传感器单元的SIL等级从SIL1级提升为SIL2级。
再将其故障修复时间从8h提高到2h,再重新计算它的PFD值为0.000957,传感器单元的SIL等级从SIL2级提升为SIL3级。
从上面的计算结果可以看出在系统的维护过程中,如果我们能提升设备的故障修复时间和维护频率,就能够提高整个系统的安全性,这就涉及到工厂安全的另一个范畴,安全管理。
事上,工厂安全防护系统的组成,应该包括硬件和软件两个部分,硬防护即为我们的现场设备和装置单元等。
软防护可包括我们的安全规范、安全培训、维护方法等等。
然而,实际使用中,我们更多的是采用另一种方法,通过多样性来提高整个系统的安全等级。
同样是上面的传感器单元,其每小时故障率为0.00005,诊断覆盖率为90%,平均故障修复时间为8h,维护时间为12个月一次。
对同一个测点,如果配置两个传感器并采用1oo2的配置,计算它的PFD值为0.000122,传感器单元的SIL等级直接从SIL1级提升为SIL3级。
同样,对于阀门的安全等级也可以采用多样化的方法来提高,如配置1oo2或2oo3,甚至2oo4的输出回路来提高执行机构的安全等级。
事实上,在已实施的某些煤化工项目的重要输出回路上,就采用了配置4个同样的输出阀门并设置为2oo4的模式来提高整个输出回路的安全等级了。
图5表述了采用不同的配置对设备安全性和可用性的影响,也说明了其对工厂投资和运营成本带来的影响。
6 总 结
通过对现场装置的安全仪表系统SIL级别的定量分析,用定量计算的方法设计合适的安全仪表系统以达到现场的使用功能是非常重要的。
目前在国内实施该等级评估的主要有广东大鹏LNG、上海石化PTA和镇海炼化加氢裂化等项目。
随着可靠性工程的发展,定量地分析过程生产装置中安全仪表系统的SIL等级将是今后设计工作的一个趋势,特别是新装置的设计中更要注重SIL等级的定量分析和整个安全回路的安全评估。
相信在不久的将来,会有越来越多的工厂在设计、实施和后期维护阶段参与到SIL等级的定量分析和整个安全回路的安全评估中来,这对提供我们国内工厂的安全防护等级和安全层次非常重要。
参考文献:
[1]IEC61511,FunctionalSafety:
SafetyInstrumentedSystemsfortheProcessIndustrySector[S].InternationalElectrotechNIcalCommission,Geneva,Switzerland.
[2] IEC61508,FunctionalSafetyofElectrical/Electronic/Pro-grammableElectronicSafety-relatedSystems,InternationalElectrotechnicalCommission[S].part4,Geneva,Switzerland.
[3] ANDREWSJD,ERICSONCA.FaultTreeandMarkovAnal-ysisAppliedtoVariousDesignComplexities[C/OL]//Pro-ceedingsof18thInternationalSystemSafetyConference.[2009-07-23].http:
//www.fault-tree.net.
[4] GOBLEWM.ControlSystemsSafetyEvaluationandReliabili-ty.ISA—TheInstrumentation,Systems,andAutomationSoci-ety[S].1998.