安全仪表功能回路设计及SIL验算
2021-07-06
来源:欧得旅游网
第53卷第4期 石油化工自动化 Vo1.53,No.4 August,2017 2017年8月 AUTOMATION IN PETRO—CHEMICAL INDUSTRY 安全仪表功能回路设计及SIL验算 高嗣晟 (中国石油集团东北炼化工程有限公司葫芦岛设计院,辽宁葫芦岛125000) 摘要:简要介绍了安全仪表功能(s】F)回路安全完整性等级(SII )定级的方法;分别介绍了IEC 61508和ISATR84.00.02中 I 验 算的方法;以普通仪表和经过安全完整性等级认证的仪表为例,计算其平均失效概率(PFD ),得出SIF[圃路的 I 。比较普通仪 表和经过安全完整性等级认证的仪表组成的SIF回路,结合实际设计和应用情况,给出安全仪表系统(SIS)设计的建议。 关键词:安全仪表功能安全完整性等级安全仪表系统失效概率 中图分类号:TP273 文献标志码:A 文章编号:1007—7324(2017)04—0008—06 Design of Safety Instrumented Function Loop&SIL Certification Gao Sicheng (Hu Ludao Design Institute,PetroChina Northeast Refining&Chemical Engineering Co.Ltd.,Hu Ludao,125000,China) Abstracts:The grading method of safety integrity level(SII )of safety instrumented function (SIF)loop is introduced briefly.The calculation method of SII certification through IEC 6 1 508 and ISA TR84.00.02 are introduced respectively.Average probability of failure is calculated with ordinary and SIL certificated instruments as example.The SII of SIF loop is obtained.SIF loops consisted of ordinary and SII certificated instruments are compared.Suggestion to SIS design is proposed with combination of the actual design and application. Key words:safety instrumented function;safety integrity level;safety instrumented system; probability of failure 近些年石化行业频发重大安全事故,安监局发 设定“偏离”,沿“偏离”在系统中反向查找非正常 “原因”,沿“偏离”在系统中正向查找不利“后果”, 布的相关安全文件中均提到安全仪表系统(SIS)。 《中国石化安全仪表系统安全完整性等级评估管理 确定后果严重性等级_2 。HAZOP具体分析方法 详见AQ/T 3049 2013《危险与可操作性分析 (HAZOP分析)应用导则》 。 规定(试行)》(中国石化安[2013]259号文)1.3条 要求:“各单位应将建设项目安全完整性等级 (SII )评估纳入建设项目设计管理,将在役装置 SIL评估纳入日常安全生产管理”;3.2条要求:“各 单位或设计单位应对建设项目以及在役装置所涉 及的安全仪表功能(SIF)确定相应的SIL,保证安 全仪表功能满足目标SIL要求”_1]。在SIS设计过 程中,SIF回路中SIL的定级和验算是设计的重 点和难点。 1 SIL定级 当HAZOP分析确定后果严重性等级为高风 险或很高风险时,需进一步进行LOPA分析,计算 目前偏差导致的后果发生的频率,判断现有保护措 施是否足够,建议措施是否能够有效地降低事故发 生频率等。可通过增加SIF回路保护层,降低事故 发生概率,从而得出SIF回路的SIL。I OPA具体 分析方法详见AQ/T 3O54 2Ol5《保护层分析 (LOPA)方法应用导则》 。 目前SIF回路的SIL的确定,主要依靠危险与 可操作性分析(HAZOP)结合保护层分析(I ()PA) 的方法来实现。 HAZOP分析是在安全专业人员主导下,工 根据文献243中表E.2,引发偏差的初始事件, 稿件收到日期:20l7一O2一O3,修改稿收到日期:2017—05 1 8。 作者简介:高嗣晟(1979),男,辽宁葫芦岛人,2004年毕业于辽 艺、自控、设备专业人员以及操作人员共同构成的 分析小组进行的一种分析方法。HAzOP分析是 采用标准化“引导词”对装置过程系统的中间变量 宁石油化工大学测控技术与仪器专业,获学士学位,现就职于中国 石油集团东北炼化工程有限公司葫芦岛设计院,从事自控设计工 作,任工程师。 第4期 高嗣晟.安全仪表功能回路设计及SIL验算 如控制回路失效、冷却水失效、控制阀误动作、常规 人员操作失误、雷击等,偏差导致的事故发生概率 -厂 ≤l×10,假设f 一1×10~,年频率等级为 1~10~。 层失效概率PFD≤1×1O_。;引入点火概率、人员 暴露、人员伤害、毒性影响等修正系数P,P一 × 10啊。, 一l~10,偏差导致的事故发生概率f;一 厂 ×PFD×P≤ ×10~,年频率等级范围为 10~10_。。 在涉及“重点监管工艺、重点监管化学品、重 大危险源”或可能引发高后果的工艺,大多已配 置基本过程控制系统(BPCS)、过程报警及操作员 干预、安全阀、爆破片、防火堤等独立保护层中的 一为了方便分析,假定偏差导致的后果严重性为 最严重等级的5级,事故发生年频率等级为 × 1O_’,根据表1 LOPA风险评估矩阵可得知,事故 风险为高风险,需采取进一步的保护措施。 个或多个,根据文献1-4]中表E.3,各独立保护 表1风险评估矩阵[ ] 可在HAZOP分析的节点增加SIS独立保护 检测到的安全故障率; 为未被检测到的安全故 层,引入SILI(PFD=1×10 )的SIF回路时,后果 障率; 为被检测到的危险故障率; 为未被检测 到的危险故障率; 为安全失效故障率; 为危险 失效故障率(故障率的单位为Fit,1 Fit一1× 10 );DC为诊断覆盖率;SFF为安全失效分数。 计算公式如下所示_6J: :== sd+ d— + (1) 发生的概率f:一 ×10 ×1×10~一 ×10一,年 频率等级为10~~1O,此时根据表1可知,5级后 果的风险等级为中风险;当引入SIL2(PFD一1× 10 )的SIF回路时,后果发生的概率f;一 × 1O ×1×10~一 ×10,年频率等级范围为 1O~lO ,5级后果的风险是中风险;当引入 SIL3(PFD一1×10-4)的SIF回路时,后果发生 的概率f;一 ×10 ×1×10一,z×10一 ,年频 率等级范围为10~l0一 ,5级后果的风险是低 风险。 DC— dd/11 SFF=( + dd)/( + d) 式(1)中 sd, , 1du可从仪表设备SIL认 上述SIL分析中选取了最严重的风险等级、 证证书中获取。根据GB/T 50770--2013((石油化 最高的初始时间发生概率、最高的独立保护层失效 概率,可以看出SILl的保护层即可将风险降为中 风险,中风险是可选择性的采取行动;当采用SIL3 保护层时可将风险降为低风险,低风险不需要采取 行动。若风险等级小于5级或其他独立保护层的 失效概率小于1×1O 时,采用SIL2保护层时可 将风险降为低风险,低风险不需要采取行动。因 此,SIS中,大部分SIF回路的SIL可定在1级;少 工安全仪表系统设计规范》L 中4.1.3条规定:“通 常石油化工工厂和装置的安全仪表系统工作于低 要求操作模式”,故下文中的参数均是低要求操作 模式下的认证参数。 通过式(1)的计算可得出安全失效分数,而 表3和表4列出了硬件的SIL,其中A类仪表有浪 涌保护器、液位开关、安全栅、电磁阀、阀体、执行机 构、阀门定位器等,B类有安全型控制逻辑器、现场 变送器等。 数SIF回路的SIL可定在2级;极少数SIF回路的 SIL定为3级。 结合表2,表3和表4可以看出,通过SIL认 证的温度变送器、压力变送器、流量计、液位计等B 类子系统SFF多在90 9/6~99 ,符合SIL2的要 求,可以通过冗余配置达到SIL3。而A类子系统 SFF在9O ~99 已满足SIL3要求。 2 lEO 61508中SIL验算方法 IEC 61508l5 中的SIL验算方法适用于已取得 SIL认证的仪表、控制逻辑器、执行元件等,常用的 品牌型号产品认证参数见表2所列,其中, 为被 10 石油化工自动化 第53卷 SIS投入运行后需进行周期性的离线维护, 某些故障或失效只能通过离线的人工测试才能 发现,例如变送器的膜盒损坏、引压管的堵塞、测 多数SIS设备的检验测试在装置的停车大修期间 进行。在低操作要求模式下,检测平均时间间隔 T 有3 d,6 d,1 a,一般选用T 一1 a,平均恢复时 间MTTR一8 h。 量精度、阀门的腐蚀内漏、阀芯的卡死等 。大 表2常用品牌型号安全完整-眭等级认证参数 表3硬件安全完整性:A类安全相关子系统的结构约束[。] 旺一 du[≥+MTTR1+等M丁TR 2, PFD g— d×t(:E (3) 2)计算“1oo1”时的PFD : 3)计算系统等效停止工作时间tBE: 一表4硬件安全完整性:B类安全相关子系统的结构约束 等 MTTRl+ MT ㈩ (1-pD) dd+A d] cE + 4)计算“loo2”时的PFD : PFD 增一2(1—5)a d [(1~p)a d + M丁TR ̄p f Wl+M丁TR](5) 式中: ——具有共同原因已被检测到的失效分 数; ——具有共同原因没有被检测到的失效分 工程设计中,常见的仪表组合有“Iooi”, “loo2”,“2003”,通过下列步骤分别计算组合后 的PFD 。 数, 一2 。。 卢的值可根据GB/T 20438.6 2006[。 /IEC 61508:2000中的表D.1评分获得, 取值有 1 ,2 ,5 ,10%;对应的 分别为0.S ,1%, 1)计算通道等效停止时问t : 第4期 高嗣晟.安全仪表功能回路设计及SIL验算 2.5 ,5 。将上述数据分别代入式(5)中验算, 结果相差无几,且 评分方法繁琐,为了方便工 程计算,现场仪表可统一将 取值为10 9/6, 取 值为5 。 ∑PFDFE——执行元件子系统平均失效 概率。 因SIS的设计为故障安全型,电源的失效会将 装置带到安全位置,故系统平均失效概率不考虑电 源失效。 3 ISA TR 84.00.02标准中SIL的验算方法 5)计算“2003”时的PFD : PFD 一6E(1一 D) dd+(1一p) d ] tcEtoE+ fT L厶 ] J 文献El1]中SIL的计算方法相对简单,未经 SIL认证的普通仪表采用IEC 61508计算时, sd, , 甜, lfD2aaMTTR+p d l +M丁 l (6) 将表2内的认证参数代入式(2)~式(6),可得 出分别在“lool”,“loo2”,“2003”情况下的 无数据可查,此时可通过文献[11]进行 SIL验算,步骤如下所示: PFD ,并将该值填人表2中。 6)分别计算SIF回路中的传感器、逻辑系统、 执行元件等的PFD 后,计算SIF回路系统的平 均失效概率PFD : 1)计算危险失效故障率 : d一1/MTTFd (8) 式中:MTTF ——平均危险失效前时间,实际验 算过程中精确的数值可从供货商处获取仪表平均 ∑PFD 一∑PFD +∑PFD +∑PFDFE (7) 故障时间MTBF,MT了、Fd—M丁BF—MTTR,因 MTTR时间很短为8 h,则MT了、Fd ̄MTBF_l 。 在MT了、Fd无数据可循的情况下,可参考文献El1] 式中:∑PFD ——传感器子系统平均失效概 中part 1表5.1中5个工厂经验值,详细数据见表 5所列。 a 率;∑PFD ——逻辑子系统平均失效概率; 表5常规仪表平均危险失效前时间 因 d 一 d×(1一DC),可假设未经过SIL认 SIL一2。 证的常规仪表诊断覆盖率DC=O,则 一 d。 2)“lool”时的PFD vg: 丁 PFD vg— d ・ (9) 3)“loo2”时的PFDavg: PFD :PFD := :三 vg===— 一 (10) ( 4)“2003”时的PFD vg: PFD vg===( d ・T1)。 (11) 5)根据式(7)计算SIF回路的PFD 。 4应用实例 图1验算案例P&ID一 假设P&ID中某节点需设置SIF回路,当采 用差压变送器测量储罐液位时,液位高高或压力高 高时联锁停进料切断阀,如图1所示,该SIF回路 经HAZOP,LOPA分析后得出SIF回路的 1)当现场采用未经SIL认证的普通传感器和 执行元件“lool”时,SIF回路的PFD 见表6所 列,∑PFD 一2.700 5×10~,SIF回路SIL===1, 不满足SIL2的要求。 石油化工自动化 第53卷 表6未经SIL认证的传感器及执行元件构成的 SIF回路PFDavg 合计 2.7×10。4.5×10 从表6可以看出,SIF回路的PFD 中现场 变送器和执行元件占了大部分的比例,安全栅、继 电器、安全型控制逻辑器占比例较少,需降低现场 变送器和执行元件子系统的PFD 。 现场变送器采用“loo2”,设置双压力变送器和液 位变送器,如图2所示。执行元件采用“loo2”,设置双 切断阀, ̄Lu,I SIF回路的 PFD 一4.45×10_。< 1×10- ,满足SII2的要求。文献El13中指明,该规 范中的计算步骤适用于SII 1和sIL2的SIF回路验 证,除非完全掌握简化公式的计算方法和限制条件 才可以进行SIL3的SIF回路验证。 图2验算案例P&ID二 2)当SIF回路的现场传感器及执行元件均采 用取得SIL认证的仪表时,SIF回路PFD…见表7 所列。 当变送器、不带PVST功能的电磁阀、气动切 断球阀采用SIL2认证的产品,与SIL3认证的SM 系统、安全栅、继电器构成的“lool”SIF回路 PFD 一1.503×10,SIF回路sII 一2;当采 用冗余的SII 2认证的变送器、电磁阀、气动切断 球阀、安全栅、继电器,与SM系统构成的“loo2” SIF回路∑PFD 一8.22×10 ,SIF回路满足 SIL3的要求。 表7经SIL认证的传感器及执行元件构成的 SIF回路PFDavq 当电磁阀带PVST功能时,其“lool”时 PFD 查表2为1.503×10 ,代入到表7中,采用 SII2认证的变送器、气动切断球阀,与SIL3认证的 SM系统、安全栅、继电器、带PVST功能的电磁阀 构成的“lool”SIF回路 PFD, 一6.980 3×10 , SIF回路满足SIL3的要求。 3)当检测器子系统采用未经安全完整性等级 认证的普通仪表“loo2”,执行元件子系统采用经过 安全完整性等级认证的不带PVST功能电磁阀、 气动切断球阀“lool”,如图3所示。 :PFD 一 1.029×10~。,满足SIL2的要求。 图3验算案例P ID三 5结论 SIF回路的SII 验算需大量的数据支撑,准确 数据获取不易,对于工程设计而言,可粗略的得出 如下结论,方便快速验算: 1)对一个SIF回路的PFD 进行分解,传感 器子系统约占35 ,安全型控制逻辑器约占15 , 执行元件子系统约占50 。 第4期 高嗣晟.安全仪表功能回路设计及SIL验算 13 SIL2认证的仪表“lool”结构PFD 在10 左右,“loo2”结构PFD 在1O 左右,“2003”结 构PFD 在1O 左右,如没有具体数据可参考上 述数量级进行粗略计算。 2)用于紧急停车功能的安全型控制逻辑器、安 全栅、浪涌保护器、继电器宜首选SIL3认证的产品; 对于装置规模较小、联锁简单、事故后果可控的中小 用,测量仪表或控制阀的失效可能导致BP( 和SIS 的同时失效,破坏SIS保护层的独立性。 因此,在设计过程中SIS中SIF回路的检测仪 表、控制阀不建议与BPCS共用,不推荐采用调节 阀配电磁阀的方式进行控制、联锁。 参考文献: [1]吴少国,张丽丽,俞文光.在役安全仪表系统的SIL验证方法 与实例_J].自动化仪表,2016,37(01):6—8. [2]李娜,孙文勇,宁信道.HAZOP,LOPA和SII 方法的应用分 析l_J].中国安全生产科学技术,2012,8(05):101—106. [3]张海峰,牟善军,自永忠,等.AQ/T 3049--2013危险与可操 作性分析(HAz0P分析)应用导则ES].北京:煤炭工业出 版社,2013. 型生产企业若LOPA分析所有SIF回路SIL均为1 时,可选用SIL2认证的安全型控制器、安全栅等。 3)采用质量可靠(MTBF≥50 a)、应用广泛、未 取得SIL认证的传感器、执行元件子系统构成的 “lool”SIF回路,在传感器子系统和执行元件子系统 中仪表数量较少的情况下,基本可满足SILl的要求。 采用经SIL认证的仪表、或未经SIL认证的 [4] 白永忠,韩中枢,党文义,等.A T 3054 2015保护层分析 (L0PA)方法应用导则[S].北京:国家安全生产监督管理 总局,2015. 普通仪表组成“loo2”,“2003”SIF回路、或经过 SIL认证的执行元件与未经过SIL认证的“loo2”, [5]IFC IEC 61508—2010.Functional Safety of Hectrical,Hectronic, Programmable Electronic Safety-related Systems r S]. Geneva:IEC,2010. “2003”传感器子系统混合型的方式来降低回路的 PFD 以满足SIL2的要求。采用经SIL认证的 传感器子系统与带PVST功能的执行元件配套使 用可达到SIL3的要求。 [6]冯晓升,王莉,梅恪,等.GB/T 20438--2006电气/电子/可 编程电子安全相关系统的功能安全[S].北京:中国标准出 版社,2007. [7]黄步余,叶向东,范宗海,等.GB/T 50770 2013石油化工 安全仪表系统设计规范ES].北京:中国计划出版社,2013. 4)当传感器子系统采用“loo2”,“2003”的方 式时,仪表的取源部件不应共用,以免因取源部件 的堵塞导致SIF回路的失效。 5)GB/T 50770--2013{石油化工安全仪表系 统设计规范》中,SILl的回路中测量仪表、控制阀 [8]王东峰.安全仪表系统的回路设计探讨F-J].石油化工自动 化,2014,50(04):10—15. [9]赵亮.8O万吨/年甲醇项目安全完整性等级(SIL)回路计算 实例分析_J].自动化博览,2011(O3):64—68. [1O]张建国.安全仪表系统在过程工业中的应用[M].北京:中国 电力出版社,2010. 可与BPCS共用;SIL2的回路中测量仪表、控制阀 宜与BPCS分开;SIL3回路中的测量仪表、控制阀 应与BPCS分开 。 从I )PA分析来看,BPCS与SIS是两个独立的 [11]IsA ISA 84.00.02.2002 Safety Instrumented Function (SIF)一Safety Integrity Level(SII )Evaluation Techniques IS].ISA,2002. [12]周雁鹏.安全仪表回路改造的可靠性及误动作概率计算IJ]. 石油化工自动化,2013,49(O5):卜6. 保护层,如SIF回路中的测量仪表、控制阀与BPCS共 (上接第7页) 2)气体探测器选型原则细致,考虑介质物理 化学性质、探测气体中组分浓度范围、油品挥发性 探测器培训范畴。 参考文献: [1]黄维和,郑洪龙,王婷.我国油气管道建设运行管理技术及 发展趋势_J].油气储运,2014,33(12):1259—1262. [2]首晓洁,赵晓龙,邓莎萍.油气站场可燃气体浓度检测的设 计[J].油气田地面工程,2013,32(12):75—76. [3]郭福田,刘心红.油气站库可燃气体远程监测与报警系统设 和探测器用途等多种因素。 3)在特殊重要场所,气体探测器采用传感器 冗余设计理念。 4)在机械振动等复杂场所和低温、潮湿等恶 劣气象条件下采取气体探测器防护措施。 5)气体探测器一级报警设定值小于20 LFL,相对国内标准为25 LFL更严格。 计_J].天然气与石油,2014,32(03):63—65. [4]关中原,高辉,贾秋菊.油气管道安全管理及相关技术现状 [J].油气储运,2015,34(05):457—463. [5]李明凯,任桂芬.可燃气体报警控制设备的使用与维护_J]. 石油工程建设,2003,29(05):17—19. 6)规定气体探测器故障时应采取的替代 措施。 7)将气体探测器运行特性、检定气体介质、零 [6]梁富华,段冲.天然气管道可燃气体探测器误报警的原因及 对策_J].石油工程建设,2008,34(03):70—71. 位漂移调整、读数异常和报警滞后等问题纳入气体