刘齐忠,林 融

(1.福建联合石油化工有限公司一体化项目部,福建 泉州 362800; 2.中国石化工程建设公司,北京 100101)

0 引 言

随着石油化工生产持续向着大型化、一体化和智能化的方向发展,生产规模越来越大、工艺越来越复杂,生产事故所带来的危害性和灾难性也越来越大;同时,由于自动化仪表检测和控制设备技术水平的日益提高,可以应用于安全控制的手段也越来越多。自20世纪70年代应用继电器搭建的安全联锁系统,至80年代,90年代的可编程控制器/紧急停车系统PLC/ESD,到20世纪末和21世纪初为实现安全生产和企业效益的持续提高,具有高度自动化和安全性的SIS应运而生,并在世界范围内得到了广泛的应用。从21世纪初以来,尽管SIS在国内的石化行业已得到了较广泛的应用,但由于涉及SIS的基本概念、定义、设计、制造、检验及维护等方面的标准均来源于国际标准 IEC 61508及IEC 61511等,国内的设计单位和最终用户对其并不十分熟悉,在定义、设计、检验、应用及维护等环节还存在诸多问题。该文从基本概念入手,探讨了SIS的发展历程、发展趋势、基本功能、安全生命周期的概念,风险分析及安全完整性等级SIL分级评估、详细设计和工程实施等内容,旨在为SIS的优化设计和成功实施提出建设性的意见,为提高SIS的设计及应用水平提供有益的帮助。

1 SIS简介

SIS的概念按照IEC 61511中的定义:由传感器、逻辑控制器和执行机构组成的、能够行使一项或多项安全仪表功能的仪表系统。

1.1 发展过程各阶段安全仪表设备的特点

20世纪70年代中期以前,相关安全系统的控制设备通常由电磁继电器组成,部分也采用了固态集成电路构成,安全性高但维护相当繁琐,且对使用的检测和控制设备没有严格要求。20世纪80年代开始采用PLC,安全性高且易于维护,但没有与过程控制系统严格分开,对使用的检测和控制设备没有严格要求。

1996年,美国国家标准化组织(ANSI)和美国仪表学会(ISA)的标准《工业生产过程中安全仪表系统的应用》发布后,SIS的概念正式启用,相关规范性文件也相继推出,特别是在1998年12月,标准IEC 61508的发布及2003年标准IEC 61511的发布,为SIS的工业化应用确定了国际标准。SIS在随后的时间里逐步得到了大量的应用:对相关回路的检测仪表、逻辑控制器和执行器提出了非常明确的SIL要求或冗余配置要求,使系统在安全性、可用性和可靠性程度上均达到了一个新高度,但相应的投资也有了显著的增加。

1.2 SIS与基本过程控制系统的区别

基本过程控制系统(BPCS)与SIS是流程工业中广泛应用的两种类型的系统,在功能上有着明确的分工,其区别见表1所列。

表1 BPCS与SIS的区别

1.3 SIS的安全生命周期

SIS功能安全水平的高低完全取决于其安全生命周期SLC(Safety Life Cycle)中各阶段实施质量的好坏。IEC 61508和 IEC 61511中规定的SLC是在安全仪表功能 SIF(Safety Instrument Function)实施中,从项目的概念设计阶段到所有安全仪表功能停止使用之间的整个时间段。如图1所示,主要包括:概念、设计、实施、运行、测试、维修及停用等各阶段的活动,以达到必需的安全完整性水平并实现高水平的功能安全的一切活动。并根据工程的规模、被控过程对象的危险和风险大小、工艺的成熟和复杂程度等因素,实施SLC内必要的功能安全管理活动,以确保SIS的设计、安装、调试及运行,满足功能安全要求和高水平的功能安全。

图1 SIS安全生命周期主要活动

SLC的主要内容如下:

a)定义和确定SLC活动的各阶段及要求。

b)编制各阶段计划、技术标准和程序,确保SIS满足安全功能要求,并满足如下要求:

1)保证过程的相关模式达到SIF和SIL两方面的要求。

2)保证SIS正确安装和调试运行。

3)保证安装后符合SIL的要求。

4)在操作过程中保持SIL。

5)在维护期间管理控制过程危险。

c)确定各阶段采用的技术。

d)开展各阶段的活动。

1.4 保护层的概念

随着现代石化工业的规模化和复杂化发展,化学反应机理和生产控制难度越来越大、速度越来越快,事故的发生均是在瞬间完成的,为防止事故的发生须尽可能多地建立保护层,以便层层挡住事故诱因。

图2为系统保护层模型“洋葱图”。从图2中可以看出,外部设立了多重保护层,如安全阀、控制系统的操作员、SIS等,在发现事故前期均会采取一定的保护措施使过程处于相对安全状态。保护层一般分两大类:事故阻止层和后果减弱层,前者组织潜在危险发生、后者尽可能减少已发生事故带来的危害。在基本控制、报警、人工干预和自运保护等保护层中,只要一个成功实施就可有效阻止事故发生或减弱事故带来的危害。

图2 保护层的“洋葱头”模型

2 过程风险分析及SI L分级

在石油化工项目的SIS设计前,需要明确知道相关控制对象(工艺装置)的功能安全需求,这就有必要对过程对象进行风险分析和SIL分级:前者是系统生命周期中的一个重要环节,后者则是系统设计的依据。

2.1 风险分析

IEC 61508中对风险的定义:出现伤害的概率和伤害严重性的组合。安全的定义:消除了不可接受的风险。也就是说,风险分析的内容只针对工艺对象中可能出现不可接受风险的节点和参数,目的是将风险降低到可以接受的水平,而不是完全消除风险。

2.1.1 风险分析方法

国内外目前已提出的风险分析方法多达几十种,最常用的方法包括:如果怎么样法(What If)、预危 险 分 析 法 PHA(Preliminary Hazard Analysis)、安全检查表法(Check List)、危险和可操作性研究法 HAZOP(Hazard and Operability Study)、故障模式和影响分析法FMEA及故障树法FTA等。各种方法均具有其不同的特点且适用于不同的对象和需求。其中,HAZOP以其分析全面、系统、细致等突出优势为目前风险分析领域最常使用的方法之一。进入21世纪以来,中国已成功实施的几个国际化石油化工大型合资项目均成功采用该方法。

HAZOP方法不仅适用于基础设计阶段和详细设计阶段,也适用于装置生产阶段。无论是什么阶段,其中心任务均是发现相关对象中存在的风险,并根据风险可能带来的后果明确系统中的主要危害。值得注意的是,HAZOP分析法只是风险识别技术,为 SIL分级提供依据,不能直接解决问题。

2.1.2 HAZOP分析步骤

a)首先,在确定分析目的、对象和范围后,成立一个由经验丰富的工艺工程师(操作人员)、安全工程师、设备工程师、仪表和电气工程师组成的 HAZOP分析小组,并由安全工程师主持工作。

b)准备相关对象的设计资料并做好分析准备。

c)由工艺工程师对风险分析对象的工艺原理进行详细地讲解和解释,以便合理地选取分析节点。对于连续的流程工业,其分析节点为工艺单元,如容器、塔、反应器、管线或机泵等。

d)对特定的分析节点以正常运行(设计值)的工艺参数为标准值,分析运行过程中工艺参数的变动即偏差。常用的 HAZOP分析工艺参数为流量、温度、时间、压力和液位等。

e)确定分析节点的偏差后,再分别对每个偏差进行分析,以找出偏差产生的原因、可能导致的后果、须采取的保护措施和建议采取的措施等。

f)HAZOP分析报告编写、审查和批准,完成整个分析过程。

g)根据HAZOP报告对相关安全回路或参数进行安全完整性评估,确定SIL等级。

h)修改、完善相应设计图纸(如 P&ID,联锁逻辑图等),改进或增补修改安全仪表设置。

2.1.3 分析实例

某大型合资项目火炬系统的HAZOP分析报告,见表2所列。

表2 HAZOP分析报告实例样本

2.2 SI L分级

在完成风险分析后,则可根据风险事故的后果和发生的概率来进行SIL分析和分级,以便把风险降低到可以容忍的范围之内。SIL的分级为保证 SIS执行其安全功能提供了系统科学的方法。

2.2.1 SIL的概念

IEC 61508对SIL的定义:在一定时间、条件下,安全相关系统执行其安全功能的可能性。SIL由硬件等级和系统等级两部分组成,SIS及其安全控制回路所有的组成部分必须满足风险分析后选取的SIL,它不仅是SIS安全性能的衡量标准,也是整体SLC中的主线。根据安全仪表功能回路的安全和可靠性高低的不同,SIL共分1,2,3,4等四个等级,级别越高实现安全功能的概率就越高。对于某一等级要达到的危险失效概率范围有两种:低要求操作模式和高要求操作模式,但石油化工通常只使用低要求操作模式。具体数据见表3所列。

表3 低要求操作模式的SIL

2.2.2 SIL的分级方法

SIL的分级方法主要有两类:定性和定量。常用的定性方法有风险矩阵法、校正风险图和经验法等,目的是通过大致的风险后果和可能性分类来描述风险,但不能明确给出SIL,只能应用经验确定,其优点是简单,缺点是一致性差;常用的定量方法有安全保护层法LOPA,需首先以可容忍分析等级为目标,该目标往往用风险发生的频率表示,然后利用概率计算法分析即可,其优点是能得到准确的SIL,一致性好,缺点是复杂且难于得到可靠的数据。

SIL分级的对象不是以装置为单位,而是针对装置内的每个工艺控制回路,主要步骤如图3所示:在HAZOP分析的基础上,提出需要设置报警和联锁的所有回路,先假定其没有SIF,分析危险发生的概率及其危害程度,得出需要由SIF提供多大的风险降低水平才能使系统处于可接受的状态,从而选择相应的SIL值。

图3 安全仪表功能SIL的分级

2.2.3 SIL分级实例

表4为风险矩阵SIL分析法,表5为某大型合资项目新建PE装置的SIL分级报告。

表4 风险矩阵SIL分析法

表5 PE装置SIL分级报告

在该实例中,用户安全、工艺和设备工程师等采用了典型的风险矩阵分析法来确定SIL等级。在分析过程中,首先确定风险的后果和可能性分类标准,如:后果风险“较轻”、“严重”和“重大”,可能性则可分为“低”、“中”、“高”。两者构成的矩阵中后果和可能性分别构成矩阵的行和列,每个矩阵的元素代表一个SIL结果。

3 SIS的设计及实施

在HAZOP分析和SIL分级完成后,即可进入SIS的选型、现场仪表配置、详细逻辑设计,完成相关选型和设计工作后即可进入SIS的实施阶段:控制系统软硬件配置及系统集成、软件组态、第三方系统通信测试、工厂验收(FAT)、现场安装调试和现场验收(SA T)、最后投入生产运行。

3.1 SIS设计

在设计一套SIS时,应使其具有如下正确的安全功能:

a)监视生产过程的状态,判断生产过程是否存在某种潜在危险因素。

b)当危险出现时,自动执行规定的SIF,防止危险事件发生。

c)降低危险事件造成的影响,即减少损失、减轻后果和降低风险。

3.1.1 SIS选型

在选取经过实际检验且在本地技术和售后服务实力雄厚的公司产品外,还应遵循以下原则:

a)所选系统应取得 IEC 61508 SIL或 TUV A K认证,最高为 SIL3级或 TUV A K5-6(SIL4级一般用于核工业),具体级别选取应符合其控制对象SIS功能的最高级别要求。

b)应具有硬件和软件自诊断和测试功能,具有顺序事件(SOE)记录和报警功能。

c)应独立于BPCS,独立完成安全保护功能,并能通过数据通信接口与BPCS通信,目前常用的通信协议为Modbus-RTU,采用冗余的RS-485接口。

d)控制器应采用双重化、三重化(TMR)或四重化(QMR)冗余容错结构。

3.1.2 现场检测和控制设备配置

现场检测和控制设备(传感器、最终执行元件)是SIS安全功能回路的重要组成部分,其配置应严格按下列要求执行:

a)一般情况下,用于SIS与BPCS的传感器(含取压点)、最终执行元件应单独设置。“三取二”配置的3台SIS传感器的信号经3台信号分配器送至BPCS内做“三取中”表决,但其回路须由SIS供电;在控制阀外还有独立的SIS切断阀时,可以在控制阀上使用具有SIL认证的故障安全定位器,由SIS控制跳车动作(或安装电磁阀由 SIS独立控制气路)。

b)传感器的冗余配置原则:SIL1级SIS可采用单一的传感器;SIL2级SIS宜采用冗余的传感器;SIL3级SIS应采用冗余的传感器;冗余输入的SIS逻辑应当包括信号偏差报警。

c)阀门的冗余配置原则:SIL1级SIS可采用单一的阀门;SIL2级SIS宜采用冗余的阀门,如经SIL计算允许,可采用单一的阀门,配套的电磁阀宜冗余配置;SIL3级SIS应使用冗余阀门,如果经SIL计算允许,可采用冗余的电磁阀。

d)电磁阀的冗余设置原则:控制阀上的电磁阀应安装在阀门定位器与执行机构之间;可以视情况不同使用两只电磁阀构成“二取一”配置或使用两只电磁线圈构成“二取二”配置,失电时使阀门跳车,“二取二”配置应当保证能够进行在线测试;从SIS输出使电磁阀失电,排出执行机构中的空气/液体使阀门动作,电磁阀的电源应当由SIS提供。

e)SIS传感器应采用变送器,尽量不用开关型仪表,以保证检测信号统一和一致的精度等级便于实时监视;电动阀不宜用于SIS保护功能。

3.1.3 SIS联锁逻辑设计

逻辑设计阶段的主要工作是以SIS控制器选型、现场仪表设备配置结果为依据进行相关对象的逻辑回路、SIF的设计。此阶段应遵循的主要原则:

a)逻辑表决配置(如:“一取一、二取一、二取二、三取二”等)要满足SIS的可用性要求。

b)应设计辅助操作台面板,以配置必要的旁路开关:开车旁路(强制旁路)和维护旁路、复位按钮等设施直接操作最终执行元件。

c)应设计必需的维护旁路,用于正常生产时的现场仪表维修和测试,采用在DCS操作站上实施操作的软开关模式。

d)SIS的监视画面、所有操作信号均应在BPCS的人机界面上显示或报警。

3.2 SIS实施

在详细设计初期,完成现场仪表设备配置后即可进行SIS询价、技术澄清,着手SIS软硬件采购,随后进行系统软硬件安装、调试,完成系统组态准备;在按计划提供逻辑设计文件后,供货商即开始SIS的软件组态(此时还应积极配合系统集成商对SIS通信集成的调试工作);完成组态后即可视情况开始系统的工厂验收测试FAT,FAT完成并全面完成相关问题整改后即可装箱运至现场;现场安装、上电调试后即开始现场仪表测试、联调和逻辑功能调试,所有测试均无问题后进入SAT,最终交付业主投入开工试运行。

4 SIS未来发展趋势

随着计算机控制及网络技术和工艺技术的发展,SIS将要或已经朝以下几个方面发展:

a)SIS与BPCS的集成。以保障安全为目的,在石油化工生产过程自动化控制方面加入和强化安全方面的模块,对生产过程中的数据,进行实时的安全监控、预警和分析,以便及时发现和处理问题。但是,将SIS与BPCS集成在一个共用的网络平台时,要严格划分安全域和非安全域,并在网络及系统设计上满足网络安全要求。

b)机组保护系统与SIS的集成。将SIS与机组监视、诊断和保护系统有机地集成,使压缩机机组以最佳控制方案,并且在非满负荷工况下,效率高,操作范围宽,运行安全,具有足够的灵活性和可靠的防喘振控制及机组保护功能。

c)数据信息高度集成。信息管理方面,强化实时数据的分类采集,把生产控制信息与管理信息进行有效地整合,建立信息化一体架构,解决企业的“信息化孤岛”问题。还应建立安全专项网络数据库,利用网络平台把监控摄像头安装到需要监控的各个地方,对摄像画面进行智能化图像处理,发现不安全的迹象及时报警和处理。

5 结束语

SIS作为石油化工生产过程中为工艺生产装置或单元提供安全保障的安全系统之一,已成为工业生产安全保护链中非常重要的环节。一方面随着IEC 61508和IEC 61511等设计标准的推广和应用,其设计和实施越来越向着标准化和功能独立性方向发展;另一方面,随着计算机控制技术、网络通信技术的发展,其功能也越来越强大、其数据信息集成度也越来越高。所以,要想成功地设计和实施一套SIS,在SIS的SLC内,必须在充分理解和应用相关设计标准规范的基础上,在安全、工艺、设备和仪表等专业密切协作的同时,设计单位、采购单位、施工单位、供货商和业主必须精诚合作与共同努力才能获得成功实施。

[1] 阳宪惠,郭海涛.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.

[2] 青岛安工院.HAZOP分析指南[M].北京:中国石化出版社,2008:1-34.

[3] 王红望.安全仪表系统的实施及应用[J].石油化工自动化, 2009,(1):72-74.

[4] 张志檩.安全仪表系统技术与应用进展[J].自动化博览, 2009,(6):20-27.

[5] 李胜利,卢金芳.石油化工装置安全仪表系统的设计[J].石油化工自动化,2007,(2):18-22.