石化工业仪表安全系统安全生命周期要求和安全完整性等级的评估
来源:暴趣科技网
维普资讯 http://www.cqvip.com 工程设计及标准 石 油 化 工 自 动 化,2007,2:1 AUTOMAT10N IN PETRO—CHEMICAL INDUSTRY 石化工业仪表安全系统安全生命 周期要求和安全完整性等级的评估 刘建侯 (上海仪器仪表自控系统检验测试所,上海200233) 摘要:在仪表安全系统(SIS)安全生命周期中,要进行危险和风险分析以及安全要求分配,制定SIS安全要求规范,提供 了安全完整性等级的评估方法及其应用实例。 关键词:仪表安全系统安全生命周期;影响及危险后果分析;安全完整性等级;诊断覆盖率;要求的平均失效概率 中图分类号:TP277 文献标识码:A 文章编号:1007—7324(2007)02—0001—04 Sefety Lifecycle Requirement&Assessment of Safety Integrity Level in Petrochemical Industry SIS Liu Jianhou (SIPAI。,Shanghai,20003 1,China) Abstract:It is wanted dangerous and risk analysis,allocation of safety requirements,and constitution of safety requirements specification in safety lifecycle of SIS.Assessment method of safety integrity level is proffered Kegwords:safety instrumented systems;safety lifecycle;effects and dangerous analysis,safety integrity level,diagnostic coverage;average probability of failure on demand 1 石油化工装置及其仪表安全系统功能安全的重 2.1 危险和风险评估以及安全要求分配 要性 由于在石化工业过程领域里,存在着许多潜在 在现代石油化工装置中,由于工艺复杂、装 的危险和风险,包含的复杂性也各不相同,这些危 备繁复,需要许多控制系统,并要求整个控制系 险和风险包括被控设备(EUC)风险、在给定范围 统不允许存在任何安全薄弱环节。如果系统中 内能够接受的允许风险和采取防护措施后存在的 过程成套仪表以及其他设备工作不正常(失效), 残余风险。这些风险和危险可以通过仪表及其相 就有可能造成控制系统故障,使生产过程停止, 关安全系统、其他技术安全相关系统以及外部风险 会造成火灾、爆炸等危险事件,对人员、设备和环 降低设施,将实际风险降低。风险是对一个危险事 境造成灾难性后果。为了消除危险源,并将风险 件出现的概率和结果的估量,可以对不同情况的风 最小化,需要可靠的过程工业安全技术来满足最 苛刻的要求。因此,在现代石油化工工业过程领 收稿日期:2006—12—14 域的安全生产过程中,需要采用不同技术的仪表 作者简介:刘建侯(1939一),男,上海人,1965年毕业于上海 安全系统(如机械的、液压的、气动的、电气的、电 理工大学(原上海机械学院)自动化仪表与装置专业,本科,在上海 子的和可编程的等)来保证系统安全。所以,仪 工业自动化仪表研究所检验测试所从事仪表和系统的可靠性与功 表安全系统(SIS)本身的功能安全就成为头等重 能安全工作,高级工程师,是中国仪器仪表可靠性工程学会理事, 要的问题。为了评估SIS的功能安全,必须对石 曾任机械部仪器仪表可靠性专家顾问,中国电工电子产品可靠性 油化工工业过程领域SIS的安全完整性等级进行 标准化技术委员会委员,曾主要负责国家“七五”,“八五”,“九五” 评估,确定其SIS的等级。 攻关可靠性项目,是项目研究报告的撰写人,曾多次获得机械工业 2 SIS安全生命周期要求 部科技成果二等奖、三等奖等,有关可靠性论文数十篇,主要著作 在SIS整体安全生命周期中,要实现SIS安全 有“可靠性基础及其应用”和“仪表可靠性工程和环境适应性技术” 生命周期的每个阶段和活动(见表1所列)。 等,自2005年开始从事仪表和系统的功能安全工作。 维普资讯 http://www.cqvip.com 石油化工自动化 表1 818安全生命周期实现阶段及其活动 阶段 标 题 活 动 注:*表示在低要求操作模式下的每个仪表安全功能所需要 的SIL和目标风险降低 险进行评价,当确定了允许风险,并估计了必要的 风险降低后,就可以在仪表及其相关安全系统、其 他技术安全相关系统以及外部风险降低设施之间 分配安全完整性要求。常用的方法是采用合理可 行的低(ALARP)模型,根据这个模型,只要知道允 许的风险目标,根据风险等级,列出危险事件可能 出现的频率和后果等级,确定满足允许风险的必要 的风险降低,最后将必要的风险通过预防、控制或 减轻来自过程及其相关装置危险的保护层来分配 安全功能,给仪表安全功能分配风险,以便降低目 标量。同时,根据IEC61511中表3或表4的规定, 对应得到不同操作模式下每个仪表安全功能所需 要的目标量(SIL)。 2.2 SIS安全要求规范 从仪表安全功能分配和在安全计划编制过程 中确定的要求可推导出仪表安全功能的要求。SIS 安全功能要求主要包括:所有仪表安全功能的描 述;确定和考虑共同原因失效的要求;对仪表安全 功能的过程安全状态的定义;任何单个过程安全状 态的定义,当这些状态同时发生时,就会产生一个 单独的危险(如应急储存容器过载、多次泄压给间 歇式燃烧系统);检验测试间隔和响应时间要求;安 全完整性等级和操作模式;SIS过程输入和脱扣点 的描述;过程输出动作和成功操作准则的描述(如 密封截止阀要求等);过程输入和输出之间的功能 关系,包括逻辑功能、数学功能等;任何人工停机或 停机后复位SIS要求;失效模式和要求的SIS响应 (如报警、自动停机);超控/禁止/旁路要求。 2.3 SIS的设计和工程 SIS的设计和工程的目的是设计一个或多个 SIS以提供仪表安全功能并满足规定的安全完整 性等级(SIL)。 a)SIS设计过程中特别要注意以下几点:只 要可行,就应把仪表安全功能和非安全功能分开, 让基本过程控制系统设计成单独的和的;应论 述可操作性、可维修性和可测试性要求(如旁路设 施使得在旁路时可进行在线测试和报警);应设计 成只要它把过程置于某个安全状态,就会保持在安 全状态直到启动一次复位为止;应考虑用手动方式 (如应急停机按钮)来启动SIS终端元件。 b)要考虑在故障检测时的系统行为要求。当 在任何子系统中检测到一个危险故障时(利用诊断 测试、检验测试等)的结果会产生:用以达到或保持 某个安全状态的一个规定动作或在修复故障部分时 继续过程的安全运行。这些动作在操作员为响应一 次报警而采取的特定动作时(如打开或关闭一个阀 门),则应把报警当成仪表安全系统的一部分。当在 低要求操作模式下,无冗余的仪表安全子系统中检 测到一个危险故障时(利用诊断测试)的结果会产 生:用以达到或保持某个安全状态的一个规定动 作或在平均恢复时间(MT豫)内修复故障子系 统,此时,应由附加措施和约束保证过程持续安全。 如果不能在MTTR内完成修复故障子系统,则应 执行一个规定动作以达到或保持某个安全状态。 c)要考虑硬件故障裕度和安全完整性的结构 约束要求。硬件故障裕度指在出现故障或错误情 况下,功能单元继续执行一个要求功能的能力。硬 件安全功能所声明的最高安全完整性等级受限于 维普资讯 http://www.cqvip.com 第2期 刘建侯.石化工业仪表安全系统安全生命周期要求和安全完整性等级的评估 硬件故障裕度及执行该安全功能的子系统的安全 失效分数(SFF)。对仪表安全功能而言,传感器、 逻辑运算器和终端元件应具有最低的硬件故障裕 度。IEC61511.1中表5和表6分别表示可编程电 子(PE)逻辑运算器和传感器、终端元件及非PE逻 辑运算器的结构约束。 d)正确选择部件和子系统。按IEC61511.1 中11.5款要求 ],根据预先使用情况选择固定程 序语言(FPL)、有限可变语言(LVL)和全可变语言 (FVL)可编程部件和子系统要求,确定合适的应 用语言和工具。 e)要考虑现场设备、接口(包括操作员接口、维 护/工程接口和通信接口)和维护或测试设计要求。 2.4 SIS安装、调试运行、操作/维护、修改、停用 和检验测试 SIS安装、调试运行、操作/维护、修改、停用和 检验测试等都是SIS安全生命周期活动的内容,可 以根据IEC61511.1有关规定进行设计安排。 2.5 SIS功能安全评估 SIS功能安全评估的目的是调查并判断SIS 及相关系统所达到的功能安全,功能安全评估活动 应在进行危险和风险分析,风险降低,功能安全分 配,确定要求的保护层,以及编制安全要求规范后。 计算方法是通过对仪表进行影响及危险后果分析 (FMEDA),计算并确认仪表的安全失效分数 (SFF)和要求的平均失效概率(PFD),然后,根据 子系统的结构形式、操作要求、检验测试时间和 MTTR等要求,计算子系统的PFD,最后根据 IEC61508.6附录B[ ,安全系统的安全功能在要 求时的平均失效概率由各子系统在要求时的平均 失效概率组合确定,计算系统的SIL,同时,考虑系 统的结构约束,最终确定系统的SIL和SFF。下 面是SIL评估方法应用实例。 3 SIS功能安全评估应用实例 上海工业自动化仪表研究所受德国Linde公 司委托,对上海某化工厂合成气分离净化CO和 Hz项目中8套仪表安全系统进行功能安全SIL 评估,下面以其中的氮气系统下游流量控制的功能 安全SIL评估为例。 3.1 系统目标量 根据系统安全生命周期的危险和风险分析以 及功能安全分配,系统安全完整性等级要求的目标 失效量为SILl。 3.2功能描述 在氮气系统控制阀打开位置失效情况下,阻止 设计温度超越。 3.3 气动薄膜控制阀FMEDA确认和PFD,SFF 计算 a)几个假定。 一常数;失效传播互不相关; 所有失效模式是根据认证报告或实际使用经验得 到;平均修理时间MTTR一72 h;系统检验时问为 2 a;平均温度为40℃;环境应力水平是平均值;工 作模式为低要求操作模式。 b)系统框图如图1所示。 传感器子系统 可编程控制器子系统 (1001) (1001) 电阻温l l输入端 度变送r_1隔离安 器 l l全栅 蹰 一I全栅l—H垦 广—]一 ——_c 终端元件子系统 (1oo1) 图1 系统结构框图 c)仪表失效率数据来源。主要由仪表现场数 据收集、国内外有关可靠性数据手册和经验数据等 方法获得。 d)气动薄膜控制阀FMEDA。为了计算仪表 PFD和SFF,下面仅以薄膜控制阀FMEDA为例 加以说明,见表2,表3所列。 表2薄膜控制阀FMEDA 失效模式 占比例, 轻微故障——安全 90 严重故障——危险 1O 在检验时间为2 a,平均恢复时问72 h时 维普资讯 http://www.cqvip.com 4 石油化工自动化 2007拄 。 l—1.0×10一。 时,终端元件子系统有一条通道情况下 PFDsYs一0.48×10一。+1.34×1O +0.32×10 一诊断覆盖率DC=0 d— d 一0.1×10 0.37×10一。 SFF一1一(0.1/1.O)一90 tcE一8 832 h PFDFE一0.1×1O ×8 832—0.88×10 SFF=87 在B类结构约束下,SFF一87 ,表决1001 时,虽然计算达到SIL2,但是,根据该系统结构约 束查IEC61508.2表3,在故障裕度要求为0时的 硬件最高安全完整性等级为SILl。因此,氮气系 e)系统结构。传感器子系统包括电阻温度变 送器(3O51T)、输入模块(SM336)、输入端隔离安 全栅(KFD2一STC4一EX1);逻辑控制器子系统为 PLC逻辑控制器(Siemens PCS 7);终端元件子系 统包括输出模块(SM326)、输出端隔离安全栅 (KFD2一SL2一EX)、电磁阀(Samson 3963),气动 薄膜控制阀(Samson)。 f)子系统PFD的计算。根据IEC61508.2和 IEC61508.6附录B进行子系统PFD计算 传感器子系统PFDs的计算 PFDs一0.48×10一。 统下游流量控制保护系统受系统结构约束,其安 全完整性等级最高只能达到SILl,达到要求 目标。 h)与安全软件有关的附加结构。当安全程序 命令一个安全输出动作的情况下,应立即关闭 15O3FV110.2阀。 4 结束语 a)石化装置及其SIS的功能安全是当前迫切 需要关心的问题.b)在石化工业过程仪表及其相 关安全系统的设计中,SIS安全完整性等级的评估 应立即提到当前的工作日程中来;c)该应用实例 逻辑控制器子系统PFD 的计算 PFDI 一1.34×1O 得到的结论:必须符合检验时间为2 a,MTTR一 72 h的要求;在B类系统的结构约束下,SFF一 82 ,表决1001时,故障裕度为0的硬件能达到的 最大安全完整性等级为SILl,达到要求目标;当发 终端元件子系统PFD 的计算 PFDFE一0.32×10 生危险时,安全程序应立即命令一个安全输出动 作,关闭1503FV110.2阀,以保证系统安全运行。 参考文献: 1 IEC61508—1—7,Functional safety of electrical/electr0nic/pr0 grammable electronic safety related systems g)系统SFFs s确定和PFD计算 PFDsYs—PFDs+PFDL+PFDFE一0.66×10一 SFF一82 2 IEC6 1 5 1 1—1—3,Functional safety Safety instrumented systems 氮气系统下游流量控制保护系统在表决1001 for the process industry sector 2007年GE Fanuc自动化有奖征文 GE Fanuc作为全球工业自动化领域的主要厂商之一,为感谢广大用户对我们的长期支持、促进技术交流和共享、了解行业的最新动 向,推进技术进步,特推出“金奖等你拿!’——2∞7年GE Fanuc自动化有奖征文”活动,诚邀广大分销商、系统集成商、最终用户等,就近 年来的应用实例以专题论文的形式向GE Fanuc自动化投稿。 稿件范围 论述GE Fanuc自动化产品的相关应用案例 投稿说明 稿件可以是未在全国公开发行的刊物上发表过的,也可以是发表过的(请注明发表的刊物名称、期号和页数) ・每位参赛者可提交多个应用实例参赛,分别评奖。 ・每位参赛者请把拟参赛稿件的题目和摘要以及作者简介发送到gefanuc@gongkong.corn或在中国工控网在线提交,请在收到GE Fanuc自动化的确认后开始写作。 ・每位参赛者请在2007年8月15日以前发送稿件至gefanuc@gongkong.com,或在中国工控网在线提交,稿件格式需使用doc,zip格 式,论文中用到的图片,需要提供高清晰的JPG版本,以供出版印刷用。 ・每篇稿件都需要有作者同意并签署的“案例使用同意书”。 (下转第29页)