SIS功能安全研究与应用
2023-01-06刘东辉张国立王鑫章孙恪成董海杰
刘东辉,张国立,王鑫章,孙恪成,董海杰
(中海油能源发展股份有限公司采油服务分公司,天津 300450)
在生产过程中,安全系统可以在出现危险情况征兆的时候及时采取相应措施,防止危险事件发生,避免潜在的危险对人身、设备、环境造成伤害,从而最大程度上减轻其后果造成的损失。在以石油、天然气开采运输、石油化工、发电和化工等为代表的过程工业领域,以安全保护和抑制减轻灾害为目的的安全仪表系统(SIS),现阶段已广泛应用于各种工艺或设备防护场合。随着自控技术和工业安全理念的深入人心,安全仪表系统已从传统的过程控制概念中逐渐凸显出来,与基本过程控制系统(如DCS)并驾齐驱,成为自控领域的一个重要分支。
当前各大公司正在积极开展“资产完整性工作”。其实质上就是针对不同属性的设备采用不同的基于风险分析的评价方法。而AIM中基于风险评估方法主要有以下几点。(1)基于风险评估的设备检验RBI(Risk Base Inspection)。用于储罐等设备与工艺管道的风险检测,以提高设备可靠性、降低设备的维修费用。(2)以可靠性为中心的维修RCM(Reliability Centered Maintenance)。用来确定动设备预防性维修需求、优化维修制度的一种系统工程方法。以最小的维修和资源消耗为目标来优化系统的维修策略。(3)全完整性等级SIL。在一定时间、一定条件下,安全仪表系统能成功地执行其安全功能的概率,其数值代表着安全仪表系统使过程风险降低的数量级。
显然SIL是资产完整性管理风险评价体系中的一部分,对SIL的研究也是对AIM开展工作的支持。
1 SIL评估过程和结果分析
国内外从事的SIL评估项目主要以会议为主,采用人工分析、记录和整理,并编制评估报告,评估结果受参会人员的风险评价能力影响较大。本文通过对海洋石油工业中FPSO安全仪表系统的SIL评估相关内容,论述了SIL评估的一般方法,并对其结果进行了讨论。
1.1 SIL的评估方法
对于不是专业研究安全仪表系统功能的技术人员来说,很难体会出SIL评估中的科学性和应用价值。本文从关键步骤入手对SIL评估过程进行分析说明:SIL评估的总体思路是在不考虑现有SIS等防范措施的情况下,从人员伤亡、财产损失、环境影响和社会影响等角度分析受控设备(Equipment Under Control,EUC)可能产生的事故及事故的危害程度,确定其所需的SIL等级,然后再逐一分析现有的安全防护措施是否达到EUC所需的SIL等级,若不能,则需要提高现有SIS系统的SIL等级,以确保EUC能在可接受的风险内安全运行。
1.1.1 SIL的等级分配
由SIL等级分配评估流程(图1)可以看出在选择完EUC后,就要识别安全仪表功能(safety instrumented function,SIF)。以图2为例可以看出如果压力容器的压力过高SIS就将关闭ESD阀。图1中的初始风险就是没有SIS系统时,EUC可能产生的事故以及事故的危害程度。接着依据风险可接受准则来确定此SIF是否需要SIL等级。风险矩阵和可接受准则是在开始SIL分析之前,需根据公司现有的风险标准建立,该矩阵和风险准则需与公司的风险标准相一致。一般风险矩阵和风险准则见表1和表2,依据表1确定了风险的相应的分数,对照表2就可以知道哪些风险是可以接受的哪些风险是不能接受的。需要说明的是在表2中P2的风险区域,即按照适当可行的低投资回报(ALARP)的原则确定的系统的可容忍风险,这个指标显然是有很大弹性的。
表1 风险矩阵和风险可接受准则
表2 风险等级定义
图2 容器中压力控制回路
由图1可知,如果初始风险不满足风险可接受准则,就要计算在安全仪表功能中的“独立保护层”的要求时失效概率(Probability of Failure on Demand,PFD)。PFD在独立保护层中的意义为:当过程中发生了危险情况需要保护层执行保护动作时,却因失效而不能完成保护功能的概率。海洋石油工业中独立保护层及其PFD值见表3。
表3 独立保护层及其PFD值
图1 SIL等级分配评估流程
显然独立的保护层会降低系统的初始风险,如果这时EUC中的独立的保护层使得系统发生风险的概率达到了风险可接受准测的要求,那么说明该SIF不需要SIL等级,否则这时与风险可接受准则之间PFD的差距就要靠SIL等级来弥补。SIL的值代表了风险降低的数量级,可以通过平均要求时失效概率(PFDavg)计算安全完整性水平。报告中给出SIL等级划分见表4。
表4 SIL等级划分
1.1.2 SIL的等级验证
在对每一个SIF确定了SIL等级要求后,通过定量计算,以验证安全仪表系统是否能达所需SIL等级要求,对满足要求的进一步确定相应的测试计划,对不满足要求的,则提出改进建议,并使用改进建议来重新进行验算。流程如图3所示。
SIL的验证过程主要是计算SIF中各个部件的可靠性数据,然后选定一年为测试周期计算整个回路的PFD值。在图3中如果第一次计算的PFD值不满足SIL在上节中的等级要求时,其做法是缩短测试的周期然后再次计算。缩短测试周期然后重新计算显然得到的PFD值要小一些,然而测试周期越小则测试越频繁,这也会对企业带来相应的成本上升。功能测试周期对系统的整体性能有着重要的影响。定量的求出最优功能测试频率是可以实现的,同时也可以绘制出系统性能随功能测试频率变化的曲线,可以直观的看出功能测试周期与风险降低的关系。如参考文献[7]给出的一个目标性能指标随功能测试间隔变化的曲线的例子(图4)。由图4可以看出,在功能测试间隔为8个月的时候,其RRF的值最大,也就是说系统的PFD值最低,并不是典型值1年或者3年。
图3 SIL等级验证流程
图4 测试间隔与风险降低关系曲线
1.2 SIL评估结果分析与讨论
以常见的FPSO单点SIL分析报告为例,其中根据SIL等级分配结果(表5)和SIL验算的结果(表6),给出了建议。报告中根据SIL等级分配结果给出的建议为:(1)建议1号气滑环的就地重油罐的溢流管线阀门锁关。(2)建议在新增的1100 L的LRU罐上增加液位变送器并产生LAHH联锁,以减少误动作率。(3)如果可燃气探头误动作率较高,建议考虑SPM上2个可燃气探头同时给出关断信号时,才启动ESD;一个探测到只给出高高报警。
表5 部分SIL等级分配结果
表6 部分SIL计算结果
从第一条建议可知“就地重油罐的溢流管线阀门锁关”是防止阀门改变其状态的一种处理手段,往往这样的处理是要结合现场经验的,同时按照阀门状态计算其SIL等级也一定是满足要求的。第二条和第三条建议是为了减少安全仪表系统误报而采取的措施。报告中没有对为什么要减少误报和误动作进行定量的计算说明,特别的建议(3)中说:“如果可燃气探头误动作率较高,建议考虑……”显然这样的语言是不严谨的。在SIL分析中有一个与要求时失效概率PFD并列存在的概率就是安全失效概率(Probalility of Failing Safely,PFS)。PFS是指安全仪表功能失效造成过误停车的概率。PFS通俗讲就是危险条件还没有出现时就将系统置于某种安全状态的失效概率。人们不但希望安全仪表系统是安全的,而且也希望由安全仪表系统所造成的误停车越低越好。报告没有PFS的计算,只是依据常识2oo2的双通道系统来降低可燃气体探头的误动作率是缺乏依据的,报告中应该加入PFS的定量计算的内容,来判断安全仪表系统的误操作情况。
报告中根据SIL验证计算结果建议如下:(1)建议M74-PT-4013每3个月测试一次,M74-SDV-410每月进行PST测试(部分行程测试),每年进行全行程测试,则M74-PALL401回路的SIL等级可满足要求。(2)SPM系统中的其他安全仪表系统,包括变送器、PLC和SDV阀门,原则上须每年进行测试。
由表6可以看出除气体外输管线上的PALL回路计算不满足要求外,其余均满足达到或超过评估的SIL等级。其给出的改造建议就是增加测试的频率,本文认为对M74-PT-401可以讨论是否可以使用1oo2或者2oo2的双通道结构,这样可以增大其相关安全仪表设备的测试周期,减少工作量和节省测试成本。
3 结束语
通过对常见的单点SIL分析报告的研究,在解释其评估流程图的同时提出了完善SIL评估过程的建议。
(1)按照适当可行的低投资回报(ALARP)的原则确定的系统的可容忍风险,应给予量化计算,以行业经验或者计算最坏的情况,SIL等级是否满足其要求的PFD。
(2)对于功能测试计划计算求出最优功能测试频率,同时绘制出系统性能随功能测试频率变化的曲线,以便直观地看出功能测试周期与风险降低的关系。
(3)在进行PFD计算的同时也应当进行PFS的计算,进行SIS冗余设计的时候充分考虑误停车带来一些影响,避免由于误停车而带来的生产中断的情况。
(4)在给出SIL评估建议时,应该计算至少2种方案,比较给出最佳的SIS设计和改造方案。
通过对现场安全仪表设备失效数据的长时间的积累,形成SIS相关数据库,同时还应该不断收集现场关于线路改造和事故原因的经验,这样就能逐渐形成企业自己的SIS设计能力,做好“资产完整性工作”。