近些年石化行業頻發重大安全事故,安監局發布的相關安全文件中均提到安全儀表系統(SIS)。《中國石化安全儀表系統安全完整性等級評估管理規定(試行)》(中國石化安[2013]259號文)1.3條要求:“各單位應將建設項目安全完整性等級(SIL)評估納入建設項目設計管理,將在役裝置SIL評估納入日常安全生產管理”;3.2條要求:“各單位或設計單位應對建設項目以及在役裝置所涉及的安全儀表功能(SIF)確定相應的SIL,安全儀表功能滿足目標SIL要求”[1]。在SIS設計過程中, SIF回路中SIL的定級和驗算是設計的重點和難點。
1、SIL定級
目前SIF回路的SIL的確定,主要依靠危險與可操作性分析(HAZOP)結合保護層分析(LOPA)的方法來實現。
HAZOP分析是在安全專業人員主導下,工藝、自控、設備專業人員以及操作人員共同構成的分析小組進行的一種分析方法。HAZOP分析是采用標準化“引導詞”對裝置過程系統的中間變量設定“偏離”,沿“偏離”在系統中反向查找非正常“原因”,沿“偏離”在系統中正向查找不利“后果”,確定后果嚴重性等級[2]。HAZOP具體分析方法詳見AQ/T3049—2013《危險與可操作性分析(HAZOP分析)應用導則》[3]。
當HAZOP分析確定后果嚴重性等級為高風險或很高風險時,需進一步進行LOPA分析,計算目前偏差導致的后果發生的頻率,判斷現有保護措施是否足夠,建議措施是否能夠有效地降低事故發生頻率等。可通過增加SIF回路保護層,降低事故發生概率,從而得出SIF回路的SIL。LOPA具體分析方法詳見AQ/T 3054—2015《保護層分析(LOPA)方法應用導則》[4]。
根據文獻[4]中表E.2,引發偏差的初始事件,如控制回路失效、冷卻水失效、控制閥誤動作、常規人員操作失誤、雷擊等,偏差導致的事故發生概率f1i≤1×10-1,假設
,年頻率等級為1~10-1。
在涉及“重點監管工藝、重點監管化學品、重大危險源”或可能引發高后果的工藝,大多已配置基本過程控制系統(BPCS)、過程報警及操作員干預、安全閥、爆破片、防火堤等獨立保護層中的一個或多個,根據文獻[4]中表E.3,各獨立保護層失效概率PFD≤1×10-1;引入點火概率、人員暴露、人員傷害、毒性影響等修正系數P,P=n×10-1,n=1~10,偏差導致的事故發生概率fci=f1i×PFD×P≤n×10-3,年頻率等級范圍為10-2~10-3。
為了方便分析,假定偏差導致的后果嚴重性為最嚴重等級的5級,事故發生年頻率等級為n×10-3,根據表1 LOPA風險評估矩陣可得知,事故風險為高風險,需采取進一步的保護措施。
可在HAZOP分析的節點增加SIS獨立保護層,引入SIL1(PFD=1×10-2)的SIF回路時,后果發生的概率fci=n×10-3×1×10-2=n×10-5,年頻率等級為10-4~10-5,此時根據表1可知,5級后果的風險等級為中風險;當引入SIL2(PFD=1×10-3)的SIF回路時,后果發生的概率fci=n×10-3×1×10-3=n×10-6,年頻率等級范圍為10-5~10-6,5級后果的風險是中風險;當引入SIL3(PFD=1×10-4)的SIF回路時,后果發生的概率fci=n×10-3×1×10-4=n×10-7,年頻率等級范圍為10-6~10-7,5級后果的風險是低風險。
上述SIL分析中選取了最嚴重的風險等級、最高的初始時間發生概率、最高的獨立保護層失效概率,可以看出SIL1的保護層即可將風險降為中風險,中風險是可選擇性的采取行動;當采用SIL3保護層時可將風險降為低風險,低風險不需要采取行動。若風險等級小于5級或其他獨立保護層的失效概率小于1×10-1時,采用SIL2保護層時可將風險降為低風險,低風險不需要采取行動。因此,SIS中,大部分SIF回路的SIL可定在1級;少數SIF回路的SIL可定在2級;極少數SIF回路的SIL定為3級。
2、IEC 61508 中SIL驗算方法
IEC 61508[5]中的SIL驗算方法適用于已取得SIL認證的儀表、控制邏輯器、執行元件等,常用的品牌型號產品認證參數見表2所列,其中,λsd為被檢測到的安全故障率;λsu為未被檢測到的安全故障率;λdd為被檢測到的危險故障率;λdu為未被檢測到的危險故障率;λs為安全失效故障率;λd為危險失效故障率(故障率的單位為Fit,1 Fit=1×10-9);DC為診斷覆蓋率;SFF為安全失效分數。計算公式如下所示[6]:
式(1)中λsd,λsu,λdd,λdu可從儀表設備SIL認證證書中獲取。根據GB/T 50770—2013《石油化工安全儀表系統設計規范》[7]中4.1.3條規定:“通常石油化工工廠和裝置的安全儀表系統工作于低要求操作模式”,故下文中的參數均是低要求操作模式下的認證參數。
通過式(1)的計算可得出安全失效分數,而表3和表4列出了硬件的SIL,其中A類儀表有浪涌保護器、液位開關、安全柵、電磁閥、閥體、執行機構、閥門定位器等,B類有安全型控制邏輯器、現場變送器等。
結合表2,表3和表4可以看出,通過SIL認證的溫度變送器、壓力變送器、流量計、液位計等B類子系統SFF多在90%~99%,符合SIL2的要求,可以通過冗余配置達到SIL3。而A類子系統SFF在90%~99%已滿足SIL3要求。
SIS投入運行后需進行周期性的離線維護,某些故障或失效只能通過離線的人工測試才能發現,例如變送器的膜盒損壞、引壓管的堵塞、測量精度、閥門的腐蝕內漏、閥芯的卡死等[810]。大多數SIS設備的檢驗測試在裝置的停車大修期間進行。在低操作要求模式下,檢測平均時間間隔T1有3 d,6 d,1 a,一般選用T1=1 a,平均恢復時間MTTR=8 h。
工程設計中,常見的儀表組合有“1oo1”,“1oo2”,“2oo3”,通過下列步驟分別計算組合后的PFDavg。
1) 計算通道等效停止時間tCE:
式中:βD——具有共同原因已被檢測到的失效分數;β——具有共同原因沒有被檢測到的失效分數,β=2βD。
β的值可根據GB/T 20438.6—2006[6]/IEC 61508: 2000中的表D.1評分獲得,β取值有1%,2%,5%,10%;對應的βD分別為0.5%,1%,2.5%,5%。將上述數據分別代入式(5)中驗算,結果相差無幾,且β評分方法繁瑣,為了方便工程計算,現場儀表可統一將β取值為10%,βD取值為5%。
5) 計算“2oo3”時的PFDavg:
PFDavg=6[(1-βD)λdd+(1-β)λdu]2tCEtGE+
βDλddMTTR+βλduT12+MTTR(6)
將表2內的認證參數代入式(2)~式(6),可得出分別在“1oo1”,“1oo2”,“2oo3”情況下的PFDavg,并將該值填入表2中。
6) 分別計算SIF回路中的傳感器、邏輯系統、執行元件等的PFDavg后,計算SIF回路系統的平均失效概率PFDsys:∑PFDsys=∑PFDS+∑PFDL+∑PFDFE(7)
式中:∑PFDS——傳感器子系統平均失效概率;∑PFDL——邏輯子系統平均失效概率;∑PFDFE——執行元件子系統平均失效概率。
因SIS的設計為故障安全型,電源的失效會將裝置帶到安全位置,故系統平均失效概率不考慮電源失效。
3、ISA TR 84.00.02 標準中SIL的驗算方法
文獻[11]中SIL的計算方法相對簡單,未經SIL認證的普通儀表采用IEC 61508計算時,λsd,λsu,λdd,λdu無數據可查,此時可通過文獻[11]進行SIL驗算,步驟如下所示:
1) 計算危險失效故障率λd: λd=1/MTTFd(8)式中: MTTFd——平均危險失效前時間,實際驗算過程中精確的數值可從供貨商處獲取儀表平均故障時間MTBF, MTTFd=MTBF-MTTR,因MTTR時間很短為8 h,則MTTFd≈MTBF[12]。在MTTFd無數據可循的情況下,可參考文獻[11]中part 1 表5.1中5個工廠經驗值,詳細數據見表5所列。
表5常規儀表平均危險失效前時間a
因λdu=λd×(1-DC),可假設未經過SIL認證的常規儀表診斷覆蓋率DC=0,則λdu=λd。
5) 根據式(7)計算SIF回路的PFDavg。
4 應用實例
假設P&ID中某節點需設置SIF回路,當采用差壓變送器測量儲罐液位時,液位高高或壓力高高時聯鎖停進料切斷閥,如圖1所示,該SIF回路經HAZOP,LOPA分析后得出SIF回路的SIL=2。
1) 當現場采用未經SIL認證的普通傳感器和執行元件“1oo1”時,SIF回路的PFDavg見表6所列,∑PFDsys=2.700 5×10-2,SIF回路SIL=1,不滿足SIL2的要求。
從表6可以看出,SIF回路的PFDavg中現場變送器和執行元件占了大部分的比例,安全柵、繼電器、安全型控制邏輯器占比例較少,需降低現場變送器和執行元件子系統的PFDavg。
現場變送器采用“1oo2”,設置雙壓力變送器和液位變送器,如圖2所示。執行元件采用“1oo2”,設置雙切斷閥,此時SIF回路的∑PFDsys=4.45×10-4<1×10-2,滿足SIL2的要求。文獻[11]中指明,該規范中的計算步驟適用于SIL1和SIL2的SIF回路驗證,除非完全掌握簡化公式的計算方法和限制條件才可以進行SIL3的SIF回路驗證。
2) 當SIF回路的現場傳感器及執行元件均采用取得SIL認證的儀表時,SIF回路PFDavg見表7所列。
當變送器、不帶PVST功能的電磁閥、氣動切斷球閥采用SIL2認證的產品,與SIL3認證的SM系統、安全柵、繼電器構成的“1oo1”SIF回路∑PFDsys=1.503×10-3,SIF回路SIL=2;當采用冗余的SIL2認證的變送器、電磁閥、氣動切斷球閥、安全柵、繼電器,與SM系統構成的“1oo2”SIF回路∑PFDsys=8.22×10-5,SIF回路滿足SIL3的要求。
當電磁閥帶PVST功能時,其“1oo1”時PFDavg查表2為1.503×10-5,代入到表7中,采用SIL2認證的變送器、氣動切斷球閥,與SIL3認證的SM系統、安全柵、繼電器、帶PVST功能的電磁閥構成的“1oo1”SIF回路∑PFDsys=6.980 3×10-4,SIF回路滿足SIL3的要求。
3) 當檢測器子系統采用未經安全完整性等級認證的普通儀表“1oo2”,執行元件子系統采用經過安全完整性等級認證的不帶PVST功能電磁閥、氣動切斷球閥“1oo1”,如圖3所示。∑PFDsys=1.029×10-3,滿足SIL2的要求。
5 結論
SIF回路的SIL驗算需大量的數據支撐,準確數據獲取不易,對于工程設計而言,可粗略的得出如下結論,方便快速驗算:
1) 對一個SIF回路的PFDavg進行分解,傳感器子系統約占35%,安全型控制邏輯器約占15%,執行元件子系統約占50%。
SIL2認證的儀表“1oo1”結構PFDavg在10-4左右,“1oo2”結構PFDavg在10-6左右,“2oo3”結構PFDavg在10-5左右,如沒有具體數據可參考上述數量級進行粗略計算。
2) 用于緊急停車功能的安全型控制邏輯器、安全柵、浪涌保護器、繼電器宜選SIL3認證的產品;對于裝置規模較小、聯鎖簡單、事故后果可控的中小型生產企業若LOPA分析所有SIF回路SIL均為1時,可選用SIL2認證的安全型控制器、安全柵等。
3) 采用質量可靠(MTBF≥50 a)、應用廣泛、未取得SIL認證的傳感器、執行元件子系統構成的“1oo1” SIF回路,在傳感器子系統和執行元件子系統中儀表數量較少的情況下,基本可滿足SIL1的要求。
采用經SIL認證的儀表、或未經SIL認證的普通儀表組成“1oo2”,“2oo3” SIF回路、或經過SIL認證的執行元件與未經過SIL認證的“1oo2”,“2oo3”傳感器子系統混合型的方式來降低回路的PFDavg以滿足SIL2的要求。采用經SIL認證的傳感器子系統與帶PVST功能的執行元件配套使用可達到SIL3的要求。
4) 當傳感器子系統采用“1oo2”,“2oo3”的方式時,儀表的取源部件不應共用,以免因取源部件的堵塞導致SIF回路的失效。
5) GB/T 50770—2013《石油化工安全儀表系統設計規范》中,SIL1的回路中測量儀表、控制閥可與BPCS共用;SIL2的回路中測量儀表、控制閥宜與BPCS分開;SIL3回路中的測量儀表、控制閥應與BPCS分開[7]。
從LOPA分析來看,BPCS與SIS是兩個獨立的保護層,如SIF回路中的測量儀表、控制閥與BPCS共用,測量儀表或控制閥的失效可能導致BPCS和SIS的同時失效,破壞SIS保護層的獨立性。
因此,在設計過程中SIS中SIF回路的檢測儀表、控制閥不建議與BPCS共用,不推薦采用調節閥配電磁閥的方式進行控制、聯鎖。
