安全儀表功能回路設計及SIL驗算
安全儀表功能 安全完整性等級 安全儀表系統 失效概率
安全儀表功能回路設計及SIL驗算 2017-09-19 安全儀表功能回路設計及SIL驗算 6584

作者:高嗣晟 中國石油集團東北煉化工程有限公司 葫蘆島設計院



近些年石化行業頻發重大安全事故,安監局發布的相關安全文件中均提到安全儀表系統(SIS)?!噸泄踩潛硐低嘲踩暾緣燃鍍攔攔芾砉娑ǎㄊ孕校罰ㄖ泄玻?013]259號文)1.3條要求:“各單位應將建設項目安全完整性等級(SIL)評估納入建設項目設計管理,將在役裝置SIL評估納入日常安全生產管理”;3.2條要求:“各單位或設計單位應對建設項目以及在役裝置所涉及的安全儀表功能(SIF)確定相應的SIL,安全儀表功能滿足目標SIL要求”1。在SIS設計過程中, SIF回路中SIL的定級和驗算是設計的重點和難點。

1 SIL定級

目前SIF回路的SIL的確定,主要依靠危險與可操作性分析(HAZOP)結合?;げ惴治觶↙OPA)的方法來實現。

HAZOP分析是在安全專業人員主導下,工藝、自控、設備專業人員以及操作人員共同構成的分析小組進行的一種分析方法。HAZOP分析是采用標準化“引導詞”對裝置過程系統的中間變量設定“偏離”,沿“偏離”在系統中反向查找非正?!霸頡?,沿“偏離”在系統中正向查找不利“后果”,確定后果嚴重性等級2。HAZOP具體分析方法詳見AQ/T3049—2013《危險與可操作性分析(HAZOP分析)應用導則》3。

當HAZOP分析確定后果嚴重性等級為高風險或很高風險時,需進一步進行LOPA分析,計算目前偏差導致的后果發生的頻率,判斷現有?;ご朧┦欠褡愎?,建議措施是否能夠有效地降低事故發生頻率等??賞ü黽覵IF回路?;げ?,降低事故發生概率,從而得出SIF回路的SIL。LOPA具體分析方法詳見AQ/T 3054—2015《?;げ惴治觶↙OPA)方法應用導則》4。

根據文獻4中表E.2,引發偏差的初始事件,如控制回路失效、冷卻水失效、控制閥誤動作、常規人員操作失誤、雷擊等,偏差導致的事故發生概率f1i≤1×10-1,假設

安全儀表功能回路設計及SIL驗算


,年頻率等級為1~10-1。

在涉及“重點監管工藝、重點監管化學品、重大危險源”或可能引發高后果的工藝,大多已配置基本過程控制系統(BPCS)、過程報警及操作員干預、安全閥、爆破片、防火堤等獨立?;げ闃械囊桓齷蚨喔?,根據文獻[4]中表E.3,各獨立?;げ閌Ц怕蔖FD≤1×10-1;引入點火概率、人員暴露、人員傷害、毒性影響等修正系數P,P=n×10-1,n=1~10,偏差導致的事故發生概率fci=f1i×PFD×P≤n×10-3,年頻率等級范圍為10-2~10-3。

為了方便分析,假定偏差導致的后果嚴重性為最嚴重等級的5級,事故發生年頻率等級為n×10-3,根據表1 LOPA風險評估矩陣可得知,事故風險為高風險,需采取進一步的?;ご朧?。

可在HAZOP分析的節點增加SIS獨立?;げ?,引入SIL1(PFD=1×10-2)的SIF回路時,后果發生的概率fci=n×10-3×1×10-2=n×10-5,年頻率等級為10-4~105,此時根據表1可知,5級后果的風險等級為中風險;當引入SIL2(PFD=1×103)的SIF回路時,后果發生的概率fci=n×10-3×1×10-3=n×10-6,年頻率等級范圍為105~106,5級后果的風險是中風險;當引入SIL3(PFD=1×10-4)的SIF回路時,后果發生的概率fci=n×10-3×1×10-4=n×10-7,年頻率等級范圍為106~107,5級后果的風險是低風

險。

安全儀表功能回路設計及SIL驗算


上述SIL分析中選取了最嚴重的風險等級、最高的初始時間發生概率、最高的獨立?;げ閌Ц怕?,可以看出SIL1的?;げ慵純山縵戰滴蟹縵?,中風險是可選擇性的采取行動;當采用SIL3?;げ閌笨山縵戰滴頭縵?,低風險不需要采取行動。若風險等級小于5級或其他獨立?;げ愕氖Ц怕市∮?/span>1×101時,采用SIL2?;げ閌笨山縵戰滴頭縵?,低風險不需要采取行動。因此,SIS中,大部分SIF回路的SIL可定在1級;少數SIF回路的SIL可定在2級;極少數SIF回路的SIL定為3級。

2 IEC 61508 SIL驗算方法

IEC 615085中的SIL驗算方法適用于已取得SIL認證的儀表、控制邏輯器、執行元件等,常用的品牌型號產品認證參數見表2所列,其中,λsd為被檢測到的安全故障率;λsu為未被檢測到的安全故障率;λdd為被檢測到的危險故障率;λdu為未被檢測到的危險故障率;λs為安全失效故障率;λd為危險失效故障率(故障率的單位為Fit,1 Fit=1×109);DC為診斷覆蓋率;SFF為安全失效分數。計算公式如下所示6

安全儀表功能回路設計及SIL驗算

式(1)中λsd,λsu,λdd,λdu可從儀表設備SIL認證證書中獲取。根據GB/T 50770—2013《石油化工安全儀表系統設計規范》7中4.1.3條規定:“通常石油化工工廠和裝置的安全儀表系統工作于低要求操作模式”,故下文中的參數均是低要求操作模式下的認證參數。

通過式(1)的計算可得出安全失效分數,而表3和表4列出了硬件的SIL,其中A類儀表有浪涌?;て?、液位開關、安全柵、電磁閥、閥體、執行機構、閥門定位器等,B類有安全型控制邏輯器、現場變送器等。

結合表2,表3和表4可以看出,通過SIL認證的溫度變送器、壓力變送器、流量計、液位計等B類子系統SFF多在90%~99%,符合SIL2的要求,可以通過冗余配置達到SIL3。而A類子系統SFF在90%~99%已滿足SIL3要求。

SIS投入運行后需進行周期性的離線維護,某些故障或失效只能通過離線的人工測試才能發現,例如變送器的膜盒損壞、引壓管的堵塞、測量精度、閥門的腐蝕內漏、閥芯的卡死等[810]。大多數SIS設備的檢驗測試在裝置的停車大修期間進行。在低操作要求模式下,檢測平均時間間隔T13 d,6 d,1 a,一般選用T1=1 a,平均恢復時間MTTR=8 h。

安全儀表功能回路設計及SIL驗算

安全儀表功能回路設計及SIL驗算



工程設計中,常見的儀表組合有“1oo1,1oo2,2oo3”,通過下列步驟分別計算組合后的PFDavg。

1)  計算通道等效停止時間tCE:

安全儀表功能回路設計及SIL驗算



式中:βD——具有共同原因已被檢測到的失效分數;β——具有共同原因沒有被檢測到的失效分數,β=2βD。

β的值可根據GB/T 20438.620066/IEC 61508 2000中的表D.1評分獲得,β取值有1%,2%,5%,10%;對應的βD分別為0.5%,1%,2.5%,5%。將上述數據分別代入式(5)中驗算,結果相差無幾,且β評分方法繁瑣,為了方便工程計算,現場儀表可統一將β取值為10%,βD取值為5%。

5  計算“2oo3”時的PFDavg

PFDavg=6[(1-βD)λdd+1-β)λdu2tCEtGE+

βDλddMTTR+βλduT12+MTTR6

將表2內的認證參數代入式(2)~式(6),可得出分別在“1oo1”,“1oo2”,“2oo3”情況下的PFDavg,并將該值填入表2中。

6 分別計算SIF回路中的傳感器、邏輯系統、執行元件等的PFDavg后,計算SIF回路系統的平均失效概率PFDsys:∑PFDsys=PFDS+PFDL+PFDFE7

式中:∑PFDS——傳感器子系統平均失效概率;∑PFDL——邏輯子系統平均失效概率;∑PFDFE——執行元件子系統平均失效概率。

SIS的設計為故障安全型,電源的失效會將裝置帶到安全位置,故系統平均失效概率不考慮電源失效。

3 ISA TR 84.00.02 標準中SIL的驗算方法

文獻[11]SIL的計算方法相對簡單,未經SIL認證的普通儀表采用IEC 61508計算時,λsd,λsu,λdd,λdu無數據可查,此時可通過文獻[11]進行SIL驗算,步驟如下所示:

1 計算危險失效故障率λd λd=1/MTTFd8)式中: MTTFd——平均危險失效前時間,實際驗算過程中精確的數值可從供貨商處獲取儀表平均故障時間MTBF, MTTFd=MTBF-MTTR,因MTTR時間很短為8 h,則MTTFdMTBF12。在MTTFd無數據可循的情況下,可參考文獻[11]part 1 5.15個工廠經驗值,詳細數據見表5所列。

5常規儀表平均危險失效前時間a

因λdu=λd×(1-DC),可假設未經過SIL認證的常規儀表診斷覆蓋率DC=0,則λdu=λd。

安全儀表功能回路設計及SIL驗算



5) 根據式(7)計算SIF回路的PFDavg。

4應用實例

假設P&ID中某節點需設置SIF回路,當采用差壓變送器測量儲罐液位時,液位高高或壓力高高時聯鎖停進料切斷閥,如圖1所示,該SIF回路經HAZOP,LOPA分析后得出SIF回路的SIL=2。

安全儀表功能回路設計及SIL驗算

1)  當現場采用未經SIL認證的普通傳感器和執行元件“1oo1”時,SIF回路的PFDavg見表6所列,∑PFDsys=2.700 5×10-2,SIF回路SIL=1,不滿足SIL2的要求。

安全儀表功能回路設計及SIL驗算


從表6可以看出,SIF回路的PFDavg中現場變送器和執行元件占了大部分的比例,安全柵、繼電器、安全型控制邏輯器占比例較少,需降低現場變送器和執行元件子系統的PFDavg。

現場變送器采用“1oo2”,設置雙壓力變送器和液位變送器,如圖2所示。執行元件采用“1oo2”,設置雙切斷閥,此時SIF回路的∑PFDsys=4.45×1041×102,滿足SIL2的要求。文獻[11]中指明,該規范中的計算步驟適用于SIL1SIL2SIF回路驗證,除非完全掌握簡化公式的計算方法和限制條件才可以進行SIL3SIF回路驗證。

安全儀表功能回路設計及SIL驗算



2) 當SIF回路的現場傳感器及執行元件均采用取得SIL認證的儀表時,SIF回路PFDavg見表7所列。

當變送器、不帶PVST功能的電磁閥、氣動切斷球閥采用SIL2認證的產品,與SIL3認證的SM系統、安全柵、繼電器構成的“1oo1”SIF回路∑PFDsys=1.503×10-3,SIF回路SIL=2;當采用冗余的SIL2認證的變送器、電磁閥、氣動切斷球閥、安全柵、繼電器,與SM系統構成的“1oo2”SIF回路∑PFDsys=8.22×10-5,SIF回路滿足SIL3的要求。

安全儀表功能回路設計及SIL驗算


當電磁閥帶PVST功能時,其“1oo1”時PFDavg查表2為1.503×10-5,代入到表7中,采用SIL2認證的變送器、氣動切斷球閥,與SIL3認證的SM系統、安全柵、繼電器、帶PVST功能的電磁閥構成的“1oo1”SIF回路∑PFDsys=6.980 3×10-4,SIF回路滿足SIL3的要求。

3) 當檢測器子系統采用未經安全完整性等級認證的普通儀表“1oo2”,執行元件子系統采用經過安全完整性等級認證的不帶PVST功能電磁閥、氣動切斷球閥“1oo1”,如圖3所示?!芇FDsys=1.029×10-3,滿足SIL2的要求。

安全儀表功能回路設計及SIL驗算

5結論

SIF回路的SIL驗算需大量的數據支撐,準確數據獲取不易,對于工程設計而言,可粗略的得出如下結論,方便快速驗算:

1 對一個SIF回路的PFDavg進行分解,傳感器子系統約占35%,安全型控制邏輯器約占15%,執行元件子系統約占50%。

SIL2認證的儀表“1oo1”結構PFDavg104左右,“1oo2”結構PFDavg106左右,“2oo3”結構PFDavg105左右,如沒有具體數據可參考上述數量級進行粗略計算。

2 用于緊急停車功能的安全型控制邏輯器、安全柵、浪涌?;て?、繼電器宜選SIL3認證的產品;對于裝置規模較小、聯鎖簡單、事故后果可控的中小型生產企業若LOPA分析所有SIF回路SIL均為1時,可選用SIL2認證的安全型控制器、安全柵等。

3 采用質量可靠(MTBF50 a)、應用廣泛、未取得SIL認證的傳感器、執行元件子系統構成的“1oo1 SIF回路,在傳感器子系統和執行元件子系統中儀表數量較少的情況下,基本可滿足SIL1的要求。


采用經SIL認證的儀表、或未經SIL認證的普通儀表組成“1oo2”,“2oo3 SIF回路、或經過SIL認證的執行元件與未經過SIL認證的“1oo2”,“2oo3”傳感器子系統混合型的方式來降低回路的PFDavg以滿足SIL2的要求。采用經SIL認證的傳感器子系統與帶PVST功能的執行元件配套使用可達到SIL3的要求。

4 當傳感器子系統采用“1oo2”,“2oo3”的方式時,儀表的取源部件不應共用,以免因取源部件的堵塞導致SIF回路的失效。

5 GB/T 507702013《石油化工安全儀表系統設計規范》中,SIL1的回路中測量儀表、控制閥可與BPCS共用;SIL2的回路中測量儀表、控制閥宜與BPCS分開;SIL3回路中的測量儀表、控制閥應與BPCS分開7。

LOPA分析來看,BPCSSIS是兩個獨立的?;げ?,如SIF回路中的測量儀表、控制閥與BPCS共用,測量儀表或控制閥的失效可能導致BPCSSIS的同時失效,破壞SIS?;げ愕畝懶⑿?。

因此,在設計過程中SISSIF回路的檢測儀表、控制閥不建議與BPCS共用,不推薦采用調節閥配電磁閥的方式進行控制、聯鎖。

  注:本文轉載自自控中心站微信公眾號,如有侵權請聯系刪除。


Recommend Archive:
1
2
3
go contrast
empty contrast
Enquire
Enquire
Tel
Tel
021-64360668
2019年排球世锦赛冠军 Comparison
Comparison
0
Top
Top