安监总管三(2014)116号文《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》发布以来,安全仪表系统(SIS)得到越来越多的重视。根据116号文的要求,从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施的SIS,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的SIS。
当SIS和基本过程控制系统(BPCS)存在某些环节共用时,是否算符合要求的SIS是经常讨论的问题,本文将从标准要求和工程实践两个方面对上述问题进行分析探讨。
1、独立保护层
石油化工装置内特定场景的风险可以通过不同措施加以降低,较常用的措施如图1所示。风险降低措施包括独立保护层和非独立保护层,风险降低措施的选择根据法律、法规、标准及规范的要求、HAZOP分析和保护层分析(LOPA)以及工艺设计等方面综合考虑确定。独立保护层在降低风险过程中起着重要的作用,并且会直接影响到需求的安全仪表功能(SIF)的SIL等级。
图1 不同保护措施带来的风险降低
文献中对独立保护层的定义为:一种设备、系统或行动,能够有效防止场景向不期望后果发展,与场景的初始事件或其他保护层无关。独立性表示保护层的执行能力不受初始事件或其他保护层失效的影响。独立保护层的有效性和独立性应具有可审查性。从定义可以看出独立保护层需要满足三个基本要素:有效性、独立性和可审查性。
如果在LOPA分析过程中对于同一场景,SIS和BPCS分别以独立保护层的形式进行了风险削减降低,那么为了满足独立保护层的独立性,SIS和BPCS应完全独立设置,包括测量仪表、最终执行元件和逻辑控制器。SIS和BPCS共用会改变LOPA分析中的相关保护措施的风险削减取值,应重新进行分析,由此会改变SIS需要承担的风险降低需求,相当于SIS承担了原本由SIS和BPCS共同承担的风险降低需求。
2、标准相关要求
2.1 基本原则
本文按文献的相关要求对SIS和BPCS是否可以共用进行分析。
三个标准针对SIS和BPCS是否可以共用的基本原则是一致的,都明确要求SIS和BPCS应独立,这也是独立保护层的基本要求。如文献中要求:SIS应独立于BPCS;SIS不应介入或取代BPCS的工作;BPCS不应介入SIS的运行或者逻辑运算;BPCS不应执行SIL1及以上的安全功能。
2.2 标准的具体要求
三个标准在具体要求上是不一致的,如针对测量仪表和控制阀的SIL1场景文献中要求是:SIS和BPCS可共用;文献中要求是:BPCS作为独立保护层的前提条件是BPCS和SIS应独立;文献中要求是:在满足前提条件下,SIS和BPCS可共用。
根据文献对SIS和BPCS是否可以共用的要求见表1所列。
表1 不同SIL级别对SIS和BPCS是否可以共用的要求
从表1中可以看出,文献对于SIS和BPCS是否允许共用的前提条件只限定在SIL级别,没有给出其他的前提条件。目前,文献正在修订,笔者认为
表1中的规定应该会做相应的修订,以保持和SIS及独立保护层的理念相协调。
按照文献的要求,当一个设备作为SIS的一部分时,则不应同时用于BPCS,这样要求的目的是可以避免该设备失效时,导致BPCS和SIS同时失效。当SIS和BPCS有共用设备,并且共用设备的危险失效可能要求SIS执行安全功能时,就会引入新的风险,风险的大小与共用设备的危险失效率相关。因共用设备故障时会要求SIS执行安全功能,而SIS对此无法作出响应,即不能成功执行对应的安全功能,又无法实现风险降低的目的。因为风险大小和事故发生的频率有关,只有当共用设备的失效概率足够低,并经分析后确认其风险可接受,此时可认为SIS和BPCS可以共用设备。对于SIS和BPCS是否可以共用设备,需要进行分析以保证共用设备的危险失效率足够低,确认其失效后的风险可接受。SIS和BPCS使用共用传感器或者共用控制阀的前提条件是相关设备的失效率足够低且SIS能在要求的时间内把过程置于安全状态。实际的情况是,即使对于SIL1的应用场景,也很难做到这一点。
3、实际工程中的执行原则
3.1 基本原则
SIS和BPCS应独立,包括测量仪表、最终执行元件和逻辑控制器,SIS和BPCS的独立性示意如图2所示。如受某些条件所限,确需共用时应满足
3.2中的前提条件,当不能满足时,SIS和BPCS应独立或重新进行风险评估分析,优化工艺流程和保护措施,寻求合理、客观的解决方案。
图2 SIS和BPCS独立性示意
实际工程中可执行的原则如下:
①针对新建装置,SIS和BPCS应独立。
②针对在役装置,原则上SIS和BPCS应独立。当受客观条件所限不具备改造可能性或者改造过程中会带来新的风险,在满足3.2中共用的前提条件时,SIS和BPCS可共用。如果不能满足3.2中的条件,应重新进行风险评估分析,优化工艺流程和保护措施,寻求合理、客观的解决方案。
③SIS和BPCS有单一配置的共用设备,如果BPCS作为初始事件或作为独立保护层,则共用设备所在SIF回路的SIL等级一般限制在不超过SIL1,即SIL2及以上等级的回路不宜共用。这样考虑的原因是,SIS和BPCS共用可能会提高SIF回路的SIL等级需求,如对于原本要求SIL2等级的回路,提高要求后,可能会变为为SIL3(例如4.1场景的延伸),按标准要求SIL3等级的回路通常需要设置冗余架构,即HFT≥1,此时已经不能由单一测量仪表或执行元件实现。
④SIS和BPCS有安全性冗余配置的共用设备,如“1oo2”配置或“2oo3”配置,SIL2是否允许SIS和BPCS共用,应按照具体应用场景及所采用设备的具体情况进行风险分析和SIL验算,根据分析结论及验算结果评估确定。
3.2 共用的前提条件
3.2.1 BPCS作为初始事件或者独立保护层
如果SIS和BPCS共用设备,BPCS为独立保护层,共用设备应同时承担原来由BPCS和SIS各自作为独立保护层承担的风险消减,即共用设备需要承担BPCS和SIS消减风险任务的总和;BPCS为初始事件,共用设备应该具备BPCS和SIS消减风险能力的总和。
因此,共用设备的危险失效率必须足够低,其安全完整性的要求可能改变,比如从SIL1变成SIL2,并且应符合安全生命周期的所有相关要求。
安全生命周期的要求包括:SIS指令优先、BPCS指令不能干扰和降低SIS指令功能、相关仪表和系统失效率满足要求、要按照文献[2]和文献[3]的规定执行,包括记录、档案管理、维护管理、检维修周期、需要进行SIL验证确认满足要求的SIL等级、各个独立保护层总失效频率能满足风险降低的需求等。
3.2.2 BPCS不作为初始事件和独立保护层
如果SIS和BPCS共用设备,BPCS不作为初始事件和独立保护层,应符合安全生命周期的所有相关要求,必须充分考虑BPCS操作维护等对SIS的影响。
3.2.3 共用设备元件对操作模式的改变
SIS为静态系统,BPCS为动态系统,当二者存在共用设备元件时,共用设备元件的工作模式就是动态连续模式。因此,SIS和BPCS共用设备元件会引起操作模式的改变,由低要求模式变为连续模式,相关设备元件的操作习惯、维护规程和策略均应做相应改变。SIS为静态系统是比喻,SIS在生产正常时处于监控待命状态,一旦生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态。
从以上三个方面的分析可知,SIS和BPCS共用设备元件对安全功能回路的PFDavg(PFH),HFT,SC的要求都有影响。只有满足共用设备元件的危险失效概率足够低、符合安全生命周期的所有要求、充分考虑了BPCS操作维护等对SIS的影响以及按连续模式编制相关维护规程及策略等前提条件后才能共用。
4、工程应用
4.1 低低液位联锁保护
加氢装置热高压分离器(V103)设有低低液位联锁保护。液位低低时,联锁关闭V103底部出料切断阀XZV101,流程图示例如图1所示。为便于说明,本案例进行了简化,例如独立保护层中的“报警和人员响应”假设有独立的操作阀门;假设SIS和BPCS独立,包括测量仪表、最终元件和逻辑控制器。SIF(低低液位联锁防止高压窜低压)的LOPA分析见表2所列。
表2 低低液位联锁保护LOPA分析
如果SIS和BPCS共用控制阀,为BPCS故障初始原因和SIS存在共因失效,当共用的控制阀故障,会同时造成BPCS和SIS的失效,存在同时失去BPCS和SIS各自承担的削减风险能力的可能性。因此,如果共用控制阀,上述LOPA需要重新分析,为便于讨论这里将分析进行了简化,如3.2.1 所述,共用设备需要承担BPCS和SIS消减风险任务的总和,即SIS需求的风险减低会由10-1变成10-2,相当于SIL级别要求由SIL1变为SIL2或者SIL1的上限值10-2,所以SIS和BPCS共用设备对PFDavg(PFH),HFT,SC的要求都有影响。
通常来说,SIS和BPCS共用时,共用环节可能需要由更高级别的仪表实现,如本例中,独立时可以采用SIL1的控制阀,共用后,可能需要采用SIL2的控制阀。
由于共用的控制阀参与BPCS控制,SIF从低要求模式变为连续模式,其操作和维护模式及策略都应相应的改变。
4.2 双电磁阀配置
工程实践中,共用控制阀是讨论较多的问题,方案一般采用2台电磁阀,1台由SIS控制,1台由BPCS控制,这样的配置是否算SIS和BPCS独立,是否算符合要求的安全仪表系统,是否满足标准要求。答案是明确的,上述双电磁阀配置不算SIS和BPCS独立,不满足独立保护层的独立性要求。即使采用了双电磁阀配置,控制阀的执行机构、阀体等环节是共用的,仍然存在共因失效,所以不能算作SIS和BPCS独立。事实上,相对于电磁阀,执行机构和控制阀阀体等环节的失效概率更大,特别是要求具有严密关断(TSO)的控制阀,严密关断要求对于阀门整体失效率影响是较大的。
4.3 “一入两出”式信号分配器
针对测量仪表采用同一个仪表,由“一入两出”式信号分配器输出2个信号,1路送至SIS,1路送至BPCS,是否算作SIS和BPCS独立也是工程实践中经常遇到的问题。同样,答案也是明确的,采用“一入二出”信号分配器不算SIS和BPCS独立,单一测量仪表仍然是共因失效环节,而且是共因失效概率较大的环节。
5、客观理解共用
事实上,SIS和BPCS不可能做到绝对的独立,比如:仪表空气供气管线及设备、伴热管线及系统、冲洗系统、系统总输入电源、节流装置、均压环等环节,都存在不同程度的共用,从客观上理解这些共用的环节,有一个共同的特点,就是在工程设计合理并符合相关工程技术标准的前提下,这些环节都满足文献[3]对于共用环节失效率足够低的要求,如节流装置属于简单元件,在一定的前提下(比如非易凝结工况),可以认为失效率足够低。
因此不能因为存在这些共用环节,就放低对SIS和BPCS独立性的要求,针对测量仪表、最终元件和逻辑控制器需要严格遵循标准要求。
6、国外工程公司案例
结合国外某知名公司的企业标准举例说明国外工程公司对SIS和BPCS共用问题的要求。该公司企业标准要求如下:
除了下述a)和b)列出的情况外,要求SIL1及以上安全功能中使用的所有元件均应独立于BPCS,即SIS应独立于BPCS。
①最终元件。如果SIS和BPCS共用控制阀,应同时满足以下两个条件:
a)控制阀故障不是初始事件或者独立保护层的一部分。
b)控制阀无TSO要求。
如果不能同时满足上述条件,则控制阀不应参与SIL验算,不应作为SIF的执行元件,也不应将控制阀视为容错要求的一部分。
②测量仪表。以下三个条件都满足时才允许SIS和BPCS共用测量仪表:
a)要求为SIL1或者SIL2(不允许用于SIL3)。
b)同时采用了安全性冗余和可用性冗余(比如“2oo3”配置)。
c)“三取中”的信号作为BPCS的控制信号。
同时还应满足的要求包括:共用的测量仪表由SIS供电,而不是由BPCS供电;不同测量仪表之间应采用在线对比诊断技术。
信号共享方案推荐采用SIS输出信号硬接线至BPCS输入卡件或者采用通信信号,通常用于SIS和BPCS为同一厂家产品,不推荐在信号输入SIS前设置信号分配器。
7、结束语
执行功能安全相关标准要求,设计符合要求的安全仪表系统是安监局116号文及相关法律、法规、标准及规范的基本要求,必须严格执行。独立保护层的基本概念和属性决定了实现SIL1及SIL1等级以上安全功能回路的SIS应和BPCS独立,新建项目中应严格执行,在役装置同样建议执行,当有客观困难使其不可能实现时,应针对具体的情况进行具体分析;如确需共用时,应满足3.2提出的共用的前提条件和要求,当不能满足时,应重新进行风险评估分析,优化工艺流程和保护措施,寻求合理、客观的解决方案。
作者:范咏峰(中科合成油工程有限公司),王爱平(中科合成油工程有限公司),曾德智(中国化学赛鼎宁波工程有限公司)
共有访客发表了评论
网友评论