安全仪表系统的设计
2021-02-28沈旭敏
沈旭敏
(宁波市化工研究设计院有限公司,浙江 宁波 315103)
1 引言
中国炼油行业正在向装置大型化、炼化一体化、产业集群化方向发展。我国将新建多个千万吨级炼油项目和百万吨级乙烯项目。早在2014年,国家安全监管总局已出过文件《关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号),强调涉及“重点监管危险化学品、重点监管危险化工工艺和危险化学品重大危险源”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。另外,对于不满足要求的危险化学品储运单位或生产单位要求限期整改。装置的新建、扩建及改建项应执行功能安全相关标准要求,为了保证人身财产安全,保护环境,降低石油化工装置的过程风险,安全仪表系统(Safety Instrumented System,SIS)是必不可少的保护装置。故老装置及老储运罐区的安全系统安全等级评估、安全仪表系统改造等项目的数量必定会大量增加,以防止发生危险或减轻后果。
2 SI S的设计目标
SIS设计的目标,首先要满足整个控制回路的安全度等级(SIL等级)要求。用整个控制回路的平均故障概率PFDaverage(即在安全等级要求下的仪表及系统失效的概率)来衡量,在低要求操作模式情况下采用平均失效概率来衡量,在高要求操作模式情况下采用每小时危险失效频率来衡量。在兼顾可靠性与可用性的情况下,采取合理的冗余配置的前提下使系统达到符合要求的安全度等级,但也需考虑经济性,系统安全性太高会导致项目投资增加且可能导致执行机构误动作过多而导致装置停车、增加检修维护的次数,既不经济又降低了可用性。而SIS的设计在满足安全度等级的前提下要寻求一种设计最优配置,也是比较经济实用且可靠的系统。
3 设计阶段SI S设计的步骤
1)要对整个装置进行安全评估,判断其是否需要设计安全控制系统。安全评估的目的是通过应用和使用适当技术,把对人身、财产、环境存在的潜在危险降至可接受的范围内。石油化工装置最常见的安全评估方法为危险与可操作性分析(HAZOP)与保护层分析(LOPA)相结合的方法。
HAZOP分析由一个具有不同专业背景的专家组成的小组,通过系统的方法识别和评估工艺流程中的危险因素和可能引起的后果,并提出应对措施和办法[1]。其作为工艺危害分析中应用最广的分析方法,通过系统化、结构化的方式识别工艺系统潜在的危险与可操作性问题,并提出建议及措施,提高装置本身安全水平。
通过HAZOP和风险评估,能有效识别项目中存在的危险因素,如何设置防护层、设置多少个防护层、每个防护层能够减少多少风险等,成为企业迫切需要解决的问题,这就需要对这些危险进行保护层的分析(LOPA)。
然后,根据LOPA分析结果,明确SIS所需要承担的风险值,即安全完整性等级(SIL)。IEC61508标准《电气/电子/可编程电子安全相关系统的功能安全》将安全系统分为4个等级:安全等级从高到低分别为SIL4(一般只用于核电行业)、SIL3、SIL2与SIL1。SIL评估及审查可参考图1。安全完整性等级(SIL)说明可参考表1。
图1 安全级别参考设定图
表1 安全完整性等级(SIL)
由图1可知:(1)最终导致的结果。S1表示人员轻伤,设备损害;S2表示1人死亡;S3表示1人以上的死亡;S4表示灾难性后果。(2)人处于危险区的概率。A1表示几乎很少;A2表示经常性。(3)排除故障可能性。G1表示有限;G2表示几乎不可能。(4)危险发生的概率。W1表示很低;W2表示低;W3表示相对较高。
2)需确定安全要求规格书(SRS)。SIL评估中确定的仪表安全功能编写安全要求规格书(SRS)中针对安全仪表功能(SIF)的功能性和安全完整性给出了描述,体现了HAZOP分析和LOPA的最终意图。设计单位应根据安全要求规格书中的SIL等级进行详细设计。
通常由用户牵头组织HAZOP分析及SIL的等级测评,这里的测评需要用户、工程公司、设计院一起参加,最终依据沟通的结果完成相关的报告[2]。
3)完成SIS初步设计并检验是否符合SRS,如果计算得到的整个SIF的危险失效概率不能满足SIL等级要求,还需要重新调整SIF。最终根据验算结果来完成SIS详细设计。
4 SI S的工程设计要点
4.1 兼顾可靠性与可用性
SIS的工程设计应在满足安全仪表功能、安全完整性等级等要求的前提下提高可靠性与可用性,从而避免装置事故风险和停车损失。石油化工工厂或装置的安全完整性等级不应高于SIL 3级[3]。
1)可靠性原则。SIS的可靠性按串联系统考虑,当且仅当构成整个系统的n个子系统全部正常工作时,系统才能正常工作,故系统的可靠性R=R1R2…Rn(其中,R1,R2,…,Rn为各子系统的可靠性)。
安全仪表系统包括完整的控制回路中的所有环节,故在工程设计中不能忽视其中任何一个环节,从整个安全回路来看,逻辑控制器本身故障导致的危险不足10%,绝大部分危险发生在测量仪表与最终元件中。
2)可用性原则。SIS为可修复系统,可用性指系统在单位时间内维持其功能的概率;可用性体现在SIS的故障裕度是否能满足要求,可用性虽不影响系统的安全性,但装置的非计划停车可能导致严重的经济损失。可用性常用式(1)表示:
式中,A为可用度,也称有效度;MTBF(Mean Time Between Failure)为平均故障间隔时间,h;MTTR(Meantime to Failure)为平均修复时间,h。
对于SIS的设计,要综合考虑系统的可靠性与可用性,采用多种技术,合理配置系统结构[4]。逻辑控制器结构选择见表2。
表2 逻辑控制器结构选择参考表
4.2 回路配置原则
1)独立设置原则。SIS应独立设置,为单独的保护层,并独立完成安全仪表功能,不能取代过程控制系统的工作。SIS与集散控制系统(DCS)的测量仪表、逻辑控制器和最终执行元件是否能共用取决于回路的SIL等级,可参考表3。
表3 SI S与DCS共用仪表参考表
2)中间环节应少。可靠性与回路中信号传递的环节有关,环节越多可靠性越差。因此,设计选型时,仪表宜选用隔爆型,减少中间环节安全栅而提高可靠性;现场仪表至机柜间尽量采用直拉电缆,减少中间环节接线箱而提高可靠性。
4.3 完整的安全仪表回路设计
在系统设计选型时,因SIS包括了测量仪表、逻辑控制器和最终执行元件,因此,在工程设计过程中不能仅考虑单一环节的安全性,应整体考虑安全回路中的所有环节,故障失效率计算方法为:
式中,PFDSYS为E/E/PE安全相关系统的安全功能在要求时的平均失效概率;PFDS为传感器子系统在要求时的平均失效概率;PFDL为逻辑子系统在要求时的平均失效概率;PFDFE为最终元件子系统在要求时的平均失效概率。
5 结语
在SIS设计过程中,系统的选型与设计需结合工艺特点与用户需求,要始终铭记合理有效、降低风险的设计理念,兼顾可靠性与可用性,采取合理的冗余配置,既要满足安全仪表功能的安全等级要求,又要防止过度设计,使企业的人身、设备安全和环境安全得到充分可靠的保障。