安装在过程工厂的安全仪表系统(SIS),在过程值超过设定值时或偏离安全运行工况时,可以将过程带入“安全状态”,从而缓解过程风险。
没有单一的安全措施可以消除所有的风险控制工程网版权所有,SIS只是多层安全体系中的一层。保护层分析(LOPA)方法,可以识别、分析所有已知的过程风险以及保护层。如果在LOPA分析中得出结论,认为现有的保护措施不能将风险降低到可接受或可容忍的水平,那就需要SIS系统来应对每一种过程风险。并不是所有的过程风险都需要SIS系统。每个需要SIS系统的风险www.cechina.cn,都必须指定一个目标安全完整性等级(SIL)。
SIL等级是什么?
SIL等级来自于两个非强制性标准,工厂所有者/经营者通常用其来量化应对运行风险的安全性能要求:
●IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全
●IEC 61511: 过程工业领域安全仪表系统的功能安全
正如国际电工委员会(IEC)标准的定义,安全等级分为1-4级。较高的SILCONTROL ENGINEERING China版权所有,意味着更大的过程风险,也就需要SIS系统需要提供更高水平的保护。SIL是风险频率和危害严重程度的函数。发生频率高、或具有更严重后果的风险,其SIL等级越高。
为了确定过程风险的SIL等级,理解安全生命周期会有所帮助。
安全生命周期
IEC标准定义了一个被称之为安全生命周期的概念,它提供了一个可重复的框架,在此框架中,所有的过程风险都被识别和分析,以了解哪些危害需要使用SIS系统进行缓解。从设计上看,这是一个周期性的过程。任何工艺设计、操作工况或设备的变更,都需要从头开始重复该过程,以确保任何变更都能正确实施。
要确定SILwww.cechina.cn,需要遵循诸多步骤。该过程从执行过程危险分析(PHA)开始。PHA是对与工业过程相关的所有潜在风险的系统评估。有必要分析下列情况的所有潜在原因和后果:
●火灾;
●爆炸;
●释放有毒、风险或易燃物质等。
●关注任何可能影响该进程的内容,包括:
●设备故障;
●仪表故障或校准问题;
●公用设施(电力、冷却水、仪表空气等)的丧失;
●人为错误或行为;
●外部因素,如风暴或地震。
必须分析每种过程风险的频率和严重程度,例如:
●发生的频率是多少?如果手动执行填充操作,任何情况下都有可能会发生溢罐事故(每年多少次)。
●结果严重程度如何?局部损坏、火灾、爆炸,毒气释放、死亡。
PHA分析的核心基于这样一个事实:任何事情都可能而且确实会出错。不要考虑它是否会发生,而应该考虑它何时发生。识别出的风险,都应指定一个“可接受的”频率。不能假定一个永远不会发生的风险。例如:
●一个需要基本急救干预的风险,如果一年仅发生一次,那么这种风险可以视为“可接受”;
●由于油罐破裂而引起的爆炸和火灾,其“可接受”频率为每10000年一次。
PHA分析的最终结果,是一系列可能的工艺风险列表,为每个过程风险分配了可接受的发生频率。安全生命周期的下一步是保护层分析。单靠单一的安全措施无法消除风险。因此,有效的安全体系必须由多个保护层组成。
这样,如果一个保护层出现故障,则后续层将使该过程处于安全状态。随着保护层数量的增加和可靠性的提高,整个过程的安全性也随之增加。有一点非常重要,在一个或多个层失败时,每层必须能够独立于其它层运行。
保护层的具体例子包括:
●灭火系统;
●防泄漏系统(堤防或双壁);
●卸压阀;
●气体检测/报警系统。
对于在PHA中识别的过程风险,应该:
●列出所有可用的非SIS安全措施;
●为每一层指定其风险降低因子;
●计算保护层应用后的有效风险频率;例如:罐体填充操作,发生每年的频率为250次,因此溢罐事件发生的频率为250次每年;
●适当的排气/排水系统作为保护层,可以将风险降低(风险系数)100倍;
●储罐溢出危险的有效频率为每年250/100=2.5次。
每个危害的有效危害频率确定后,要问的关键问题是:“采用非SIS保护层后,有效频率是否能够低于可接受频率?”
一旦识别出所有的过程风险CONTROL ENGINEERING China版权所有,并为其分配保护层后,如果PHA/LOPA的研究得出结论,认为现有的保护不能将风险降低到可接受的或可容忍的水平,那就需要安装SIS系统。然而,并不是每一个过程风险都需要使用SIS系统。
安全仪表系统和功能
SIS的目的,就是在超过设定值或当超过安全运行工况时,使过程处于“安全状态”。SIS的作用是通过实施安全仪表功能(SIF)来降低风险。
SIF的两个示例包括:
●危害:水箱溢流。SIF:SIS系统将灌装泵停止,将液位维持在安全水平。
●危害:高温。SIF:SIS打开继电器,以在预定的安全温度下切断对加热器电路的电源。
在任何情况下,SIF都是SIS实现或保持安全状态的安全功能。SIF的传感器、逻辑运算器和最终元件协同动作,以检测风险并将过程带入到安全状态。
每个SIF作为保护层,将有效风险频率降至可接受的风险频率以下。要做到这一点,每个SIF必须有一个最小的风险降低因子。
安全生命周期模型的实例,改编自IEC61511。图片来源:Cross 公司。
SIF的SIL目标水平
在罐溢出实例中,在实施非SIS保护层之后,其有效频率为每年2.5次。如果可接受的危害频率为每10年一次,那SIF必须有不低于25的风险降低因子(RRF)。
●SIF的最小风险降低因子(RRF)=未实施SIS的有效频率/可接受频率=2.5/0.1=25。
●每个SIF所需的最小RRF被用于确定SIF的目标SIL等级。
通过表1,可以直接从RRF确定目标SIL等级。注意SIL和RRF之间的关系。SIL1具有的最小RRF为101,SIL2具有最小的RRF为102,以此类推。
对于罐体过量填充的例子,最小RRF为25,SIF的目标SIL为SIL1,因此,这是一个等级为SIL1的风险。
对于PHA和LOPA所识别的每个风险,使用相同的方法为SIF的分配目标SIL。请注意,可能有不同的目标SIL。过程的下一个步骤,是设计一种能满足需求的SIF,以便达到目标SIL。
SIF可实现的SIL等级
SIS是由许多组件组成的系统,例如:
●信号输入传感器;
●输入信号接口与处理;
●具有电源和通信的逻辑运算器;
●输出信号处理、接口和电源;
●执行器(阀门、开关装置),用于最终控制功能。
举个SIF的例子:在高温工况下继电器断开,负责加热器电路的SIS系统,应包含以下回路部件中的任何一种或全部:热电偶、变送器、输入信号调节器或隔离器、模拟输入卡、通讯卡、中央处理器、离散输出卡、输出信号调理器或隔离器、以及加热器继电器。
必须假定某一时刻会发生风险。你不能认为风险永远不会发生。同样,必须假定SIF的任何组成部分都可能无法根据需求采取行动。
一个比较常见的故障是有关正常工艺条件下保持开启的隔离阀的。如果需要关闭此阀门才能实现特定的SIF,则风险可能是在需要关闭阀门时此阀保持在开的位置,而不是按要求关闭。因此,我们必须知道SIF的失效概率。
给定SIF的总体故障概率,通过执行SIL计算来确定。SIL计算有些复杂,但本质上,该计算过程就是收集SIF部件的故障率数据,如测试频率、冗余、表决安排等。最终结果是每个SIF,都可以获得可能出现故障的总体概率(PFD)。
构成SIF回路的众多设备的制造商,都会公布设备的故障率数据。过程企业经常与咨询公司签订合同,以确定失效概率。
这些故障概率数据,是进行SIF计算所需的输入数据,而本身并不是SIL数据。并没有自带SIL等级的设备。您无法购买到具有SIL等级的变送器或SIL等级的控制系统。
一旦已知了SIF的PFD,那么它的RRF就是PFD的倒数(RRF=1/PFD)。然后,就可以比较SIF的RRF与所需的最低RRF。如果SIF的RRF大于所需的最小RRF,那SIF就可以将整体风险降低到可接受的水平。
回到前面罐体溢出的例子,假设SIL计算证明SIF具有300的RRF。由于该值大于25,SIF大大满足要求。如果SIL计算发现RRF小于25,那就需要改变或重新排列SIF组件。
增加RRF的一种方法,是在表决机制中配置冗余的变送器,或者购买故障率较低的变送器。SIL等级、PFD和RRF之间的关系如表2所示。
回到罐填充实例中,SIF的RRF为300,而需求的最小RRF为25(SIL1)。SIF可实现的SIL等级是SIL2。这意味着有SIL2的SIF可用于保护SIL1风险。这是完全可以接受的,而且比较常见。(作者:David Yoset)