DCS与SIS在功能安全领域的对比分析
2017-06-05刘安琪王效天董梅
刘安琪,王效天,董梅
DCS与SIS在功能安全领域的对比分析
刘安琪1,2,王效天3,董梅4
(1. 中国石油安全环保技术研究院,北京 102206;2. 中国石油大学(华东)化学工程学院,山东 青岛 266580;3. 中国石油大学(华东)机电工程学院,山东 青岛 266580;4.青岛欧赛斯环境与安全技术有限责任公司,山东 青岛 266555)
针对目前石化企业将装置联锁设置在分散控制系统(DCS)中,未设置独立安全仪表系统(SIS)的情况,参照国内外相关标准对DCS与SIS系统在功能设计、仪表选型和日常维护状况方面进行对比,结合装置联锁设置现状实例,分析现状存在的潜在危险性,并提出相应的改进建议,为企业进行SIS的优化提供参考借鉴,提高了企业的本质安全水平,保障装置的运行安全。
安全仪表系统 集散控制系统 功能安全 保护层分析
安全仪表系统SIS(safety instrumented system)是由传感单元、逻辑控制单元、执行机构组成的能够行使一项或多项安全仪表功能(SIF)的仪表系统[1]。近年来,功能安全评估成为研究的热点,而中国功能安全评估研究起步较晚,相关标准普及不高,导致许多企业在SIS设置上存在安全隐患。人们常认为安装了SIS就能达到安全要求,却忽略了SIS在结构设置、仪表选型及软件等方面的问题。国外对SIS的研究较早,陆续出台了一系列相关国际和国家标准,如IEC 61508《电气/电子/可编程电子安全系统的功能安全》、IEC 61511《过程工业领域安全仪表系统的功能安全要求》及 ANSI/ISA S84—2004《各产业中安全仪表系统的应用》等。国内于2007 年引入IEC 61508/61511标准,并等同转化为GB/T 20438—2006《电气/电子/可编程电子安全系统的功能安全》、GB/T 21109—2007《过程工业领域安全仪表系统的功能安全要求》用于指导国内的SIS安全完整性评估工作[2-3]。国内许多企业的装置建设较早,在进行SIS的设计及安装时未能按照GB/T 20438—2006及GB/T 21109—2007的要求实施。目前主要的问题是有些企业联锁回路设置在DCS中,未设置独立的SIS。由于DCS没有认证要求,因而在进行SIS的功能安全评估时,缺少验证数据,而无法进行系统评估。
1 实例分析
以某甲醇低温甲醇洗装置的联锁设置情况进行说明,低温甲醇洗是一种新型的煤化工技术,是酸性气脱除技术的首选技术[4],作为目前国内先进的煤气净化工艺,它对酸性气体有较高的吸收选择性,并且净化程度高。甲醇为有毒液体,并且易燃,装置中工艺气中含有氢气、一氧化碳、硫化氢等易燃易爆气体,一旦泄漏将有可能引起火灾、爆炸事故,对环境造成无法挽回的损坏[5]。本文根据企业资料,采用保护层分析(LOPA)方法对装置23条联锁回路逐条进行定级分析,分析步骤如图1所示,联锁回路统计见表1所列。
图1 SIL联锁回路定级分析过程示意
仪表位号SIL联 锁 描 述联锁输出动作SISORDCSTT-16071ATT-16071BSIL2 甲醇/甲醇换热器壳程出口温度低低电磁阀失电,联锁复位;液位温度低停泵,联锁需复位LV-16048关闭/P1603ABSISTT-16087SIL1 H2S分离器气相温度高高FSV-16020,FSV-16025失电阀门关闭联锁消除后需复位FV-16020,FV-16025关闭SISTT-16205ATT-16205BSIL2 火炬气温度低于-2℃时联锁触发TV-16204A/B打开,联锁消除需复位,复位后阀关闭TV-16204A,TV-16204B打开SISLT-16032SIL1 甲醇闪蒸罐液位低低停泵,联锁需复位P1602A/B停止DCSLT-16043SIL1 H2S浓缩塔上塔液位低低停泵,联锁需复位P1601A/B停止DCSLT-16046SIL1 H2S浓缩塔下塔液位低低停泵,联锁需复位P1603A/B停止DCSLT-16082SIL1 氮气汽提塔塔液位低低停泵,联锁需复位P1604A/B停止DCSTT-16023SIL1 进尾气洗涤塔尾气温度低低关阀,联锁需复位PV-16042关闭DCSLS-16057/58/59SIL1 甲醇收集罐液位低低停泵,联锁需复位P1605A/B停止DCSLT-16064SIL1 H2S分离器液位低低停泵,联锁需复位P1607A/B停止DCSLT-16029SIL2 循环气闪蒸罐液位高高停闪压机,联锁需复位C1601停止DCSPT-16031SIL1 一段入口压力低低停闪压机C1601停止SISLT-16011SIL1 洗氨塔液位低低电磁阀失电,联锁需复位LV-16013关闭DCSPT-16008SIL1 低压氮气压力低低电磁阀失电,联锁需复位关闭FV-16034FV-16018DCSLT-16060SIL1 热再生塔液位高高电磁阀失电,联锁需复位LV-16084关闭DCSLT-16074SIL1 尾气洗涤塔液位低低电磁阀失电,联锁需复位FV-16027关闭DCS
2 SIS的独立性要求
笔者在LOPA分析过程中,以上分析结果均基于保护层的独立性原则,根据IEC 61511-1关于基本过程控制系统(BPCS)作为独立保护层时有以下规定: 当触发条件是BPCS保护层防控的触发源为BPCS本身时,应确保触发源与BPCS保护层之间的隔离和独立,如图2所示。
图2 BPCS保护层与BPCS中触发源之间的独立性要求
在工程实践中,很难达到图2中所示的独立性要求,因为DCS中的冗余CPU通常采用“热备用”机制,不具备图中控制器1和控制器2之间的独立性,除非配置2套DCS。因此,当同一危险场景下,如果DCS控制故障,则设置在DCS中的相应联锁就会失效。
GB/T 50770—2013《石油化工安全仪表系统设计规范》中规定了SIS设计的基本原则: SIS独立于过程控制系统,独立完成安全保护功能。国外
一些设计资料及规范中也提到在工业中将安全联锁系统与DCS分开。比如[6-7]: 英国健康与安全执行委员会在《可编程电子系统在有关安全方面的应用》中提到“强烈推荐提供将控制和保护分开的系统”;美国化学工程研究院在《化学过程的安全自动化导则》中提到“提供物理上和功能上的分离,并且将基本过程控制系统与安全联锁系统之间的逻辑运算器、I/O模件和机架区别开来”;IEC TC65 WG10在《电气/电子/可编程的有关安全系统》概况中提到“受控设备(EUC)控制系统应是独立的,并与有关安全系统和减少外部危险的设备分开”;ISA SP84在《用于安全应用方面的可编程电子系统》中提到“用于控制的元件不能用于安全系统”,“某些过程可能要求多于一个安全系统保护层,每一个安全仪表系统(SIS)层必须与其他的SIS层完全分开和不相同”。美国核工业要求冗余的安全系统“应是相互独立的和物理上分开的”等法规及草案中都提到将SIS与DCS分开的意义。而如果用DCS来承担SIS的任务,则相应的要求水平较常规的过程控制系统更高、花费也更大,因而都建议将SIS与DCS硬件独立设置。
3 SIS与DCS的区别
SIS更关注对故障状态的反应速度,而DCS更关注的是过程处理。两系统设计的出发点不同,SIS侧重故障安全性组态,而DCS一般是非故障安全型。SIS与DCS的主要区别见表2所列。
表2 SIS与DCS的区别
将联锁设置在DCS中,不仅从硬件要求和软件要求上无法满足SIS的规定,在后期维护与保养上也区别于过程控制系统,GB/T 21109—2001第1部分中对SIS操作与维护的要求规定:“1) 应编制安全仪表系统的操作和维护计划;2) 应根据相关的安全计划编制制订操作和维护规程;3) 应根据相关规程进行操作和维护;4) 应就操作员所在领域内的SIS功能和操作对他们进行培训;5) 应分析预计的和实际SIS行为之间的差异,必要时应作修改以保持要求的安全;6) 应编写每个SIF回路的书面检验测试规程,以便暴露诊断未检测到的危险失效”。SIS修改和停用涉及的相应信息及文档要求,都从规定上展现了SIS与DCS的要求不同。
4 结束语
将联锁回路设置在DCS中,日常的操作与维护与过程控制系统一样,降低了SIS的安全要求,导致相应联锁回路安全功能的执行存在隐患。SIS必须保证系统在故障状态下是安全的,把安全性放在第一位;而DCS强调控制过程的可用性。从两者的出发点看出其各自的职能所在,随着安全仪表技术的发展及相应法规的完善,更加规范和严格的要求会被提出,建议企业根据SIL评定结果,将执行安全功能的联锁回路独立设置,形成独立的SIS,按照SIS管理方法进行管理,保障装置的平稳运行。
[1] 阳宪惠,郭海涛. 安全仪表系统的功能安全[M].北京: 清华大学,2007.
[2] 中国机械工业联合会.GB/T 20438—2006 电气/电子/可编程电子安全相关系统的功能安全[S].北京: 中国标准出版社,2006.
[3] 中国机械工业联合会.GB/T 21109—2007过程工业领域安全仪表系统的功能安全[S].北京: 中国标准出版社,2007.
[4] 任智斌. 低温甲醇洗工艺安全评价研究[D].郑州: 郑州大学,2014.
[5] 李桃娟. 16万吨/年煤制油装置中低温甲醇洗技术的应用分析[J]. 化学工程与装备,2015(05): 20-21.
[6] 顾祥柏,黄步余.安全联锁系统是否可在DCS中实现[J].炼油化工自动化,1995,31(01): 25-28.
[7] Mathur S K. Programmable Electronic Systems in Safety Related Lift Applications[C]//Computers and Safety. USA: A First International Conference on the Use of Programmable Electronic Systems in Safety Related Applications, 1989: 36-40.
[8] IEC. IEC 61508—2010 Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems[S]. Geneva: IEC,2010.
[9] 杨刚.定量评估DCS的可靠性[J].石油化工自动化,2014,50(02): 1-5.
Comparative Analysis of DCS and SIS in Functional Safety Field
Liu Anqi1,2, Wang Xiaotian3, Dong Mei4
(1. CNPC Research Institute of Safety & Environment Technology, Beijing, 102206, China;2. College of Chemical Engineering, China University of Petroleum (East China), Qingdao,266580, China; 3. College of Mechanical and Electronic Engineering, China University of Petroleum (East China), Qingdao, 266580, China; 4. Qingdao Oasis Environment &Safety Technology Co. Ltd., Qingdao, 266555, China)
s: Aiming at situation of installation interlocking setting in distributed control system (DCS )instead of independent safety instrumented system (SIS) in petrochemical enterprise,DCS and SIS are compared in aspects of function design, instrument selection and daily maintenance according to domestic and oversea relevant laws and regulations. Combined with actual situation of equipment interlocking, potential risk for present situation is evaluated. Corresponding improvements are proposed. Reference for optimization of SIS is provided for enterprise to improve intrinsic safety class and ensure safe equipment operation.
safety instrumented system; distributed control system; functional safety; protection layer analysis
刘安琪(1986—),女,辽宁大连人,2011年毕业于中国矿业大学(北京)资源开发与规划设计专业,获硕士学位,现就职于中国石油安全环保技术研究院,从事安全环保政策研究工作,任工程师。
TP273
B
1007-7324(2017)02-0034-04
稿件收到日期: 2016-12-09,修改稿收到日期: 2017-01-15。