|
首先看一下目前的标准规范对此问题是怎样规定的。 一、GB/T21109-2007《过程工业领域安全仪表系统的功能安全》中的要求: GB/T21109-2007等同于国际标准IEC61511-2003,此标准阐述了过程安全仪表系统的应用问题,从安全生命周期及安全完整性等级方面规定了仪表应达到的最低标准和性能水平。是安全仪表系统设计应遵循的重要标准之一。其中关于仪表共用的描述如下: ① GB/T21109第一部分 11.2.9:SIS设计应全面考虑SIS和BPCS之间,以及SIS和其他保护层之间的独立性和相关性的所有方面。 ② GB/T21109第一部分 11.2.10:一个装置作为执行仪表安全功能的一部分时,不应该(同时)用于基本过程控制目的,因为这个装置失效导致的基本过程控制功能失效,会引起对仪表安全功能的要求。除非分析后可以确认整体风险是可接受的。 注:当SIS的一部分用于控制并且共用设备的一次危险失效可能引起对SIS所执行的功能提出一次要求时,则会引入新的风险。附加的风险与共享部件的危险失效率有关,这是因为当共享部件发生故障时,立即就会产生一个要求,而SIS对此要求无力作出响应。因此在这些情况下需要进行额外的分析以保证共享部件的危险失效率足够低。以传感器和阀门为例,经常要考虑与BPCS共享设备的情况。 ③ GB/T21109第二部分 11.2.4: a)现场传感器 BPCS和SIS共用一个传感器时要求进一步地复审和分析。因为此单一传感器的失效可能产生一种危险情况,故有必要进行额外的复审和分析。 在一个BPCS和SIS功能使用单一传感器的情况下,一般只有在传感器诊断可把危险失效率降到足够低且SIS 能在要求的时间内把过程置于某个安全状态时,才能满足GB/T21109.1的要求。 注2:当使用一个单独SIS传感器时,通过适当的隔离器把信号转发给BPCS是有好处的。通过对BPCS和SIS传感器之间的信号进行比较,这种安排可能提高诊断覆盖率。 b)最终元件 BPCS和SIS共用一个阀门的情况大致同共用一个传感器的情况一样,也需要进一步地复审和分析。如果阀门失效将向SIS提出一次要求,通常不推荐SIS和BPCS共用一个阀门。 在BPCS和SIS只使用一个阀门的情况下,一般仅当阀门诊断可把危险失效率降到足够低,且SIS能在要求的时间内把过程置于某个安全状态时,才能满足GB/T21109.1的要求。 在BPCS和SIS功能使用单一阀门的情况下,设计应保证SIS动作超弛(overrides)BPCS动作。一般可通过把SIS直接连接到一个电磁阀上来达到这个要求,该电磁阀可直接断开执行器的动力源,例如在阀门定位器和执行器之间。 二、GB/T50770-2013《石油化工安全仪表系统设计规范》中的要求: GB/T50770-2013是安全仪表系统设计应遵循的另一个重要标准。其中关于仪表的独立设置要求如下: 6.2 测量仪表的独立设置 6.2.1 SIL1级安全仪表功能,测量仪表可与基本过程控制系统共用。 6.2.2 SIL2级安全仪表功能,测量仪表宜与基本过程控制系统分开。 6.2.3 SIL3级安全仪表功能,测量仪表应与基本过程控制系统分开。 7.2 控制阀的独立设置 7.2.1 SIL1级安全仪表功能,控制阀可与基本过程控制系统共用,应确保安全仪表系统的动作优先。 7.2.2 SIL2级安全仪表功能,控制阀宜与基本过程控制系统分开。 7.2.3 SIL3级安全仪表功能,控制阀应与基本过程控制系统分开。 简要总结一下两个标准规范关于仪表独立设置的要求,在此之前,首先了解一下的是目前石油化工行业的安全仪表功能回路SIL等级分布,根据笔者简要统计,装置安全仪表功能回路中,SIL1等级SIF回路数量居多,SIL2等级SIF回路数量其次,SIL3等级SIF回路数量很少(石油化工工厂或装置的SIL等级最高为SIL3),因此我们更多面对的是SIL1和SIL2等级回路共用仪表的问题。了解这个情况的前提下,再来看两个标准规范的适用性,若根据GB/T50770的相关要求,SIL2级安全仪表功能,测量及控制阀都是宜与基本过程控制系统分开使用,若用户不严格要求SIL2等级回路仪表独立,则SIL2等级及以下等级回路配置则不用独立设置。因此GB/T50770-2013的要求是宽泛的,若只执行它,会潜在存在一定风险。 再来看GB/T21109的相关规定。 GB/T21109并未严格规定安全仪表功能回路与基本过程控制回路的仪表应独立设置,只是更多的倾向于独立设置。GB/T21109文中提到,若遇到仪表共用时要求进一步地复审和分析,分析后确认整体风险是可接受的则可以共用,这也是笔者倾向的处理措施。那么怎样复审和分析呢,笔者结合一下GB/T21109中相关理念跟读者进行探讨: 一、 共用传感器问题 根据GB/T21109第二部分 11.2.4文中例子:当BPCS和SIS使用同一个液位传感器,传感器低位失效时,高液位脱扣会产生一次要求。传感器低位失效导致控制器将驱动阀门开启,由于SIS也使用该传感器,而它并不会检测到作为结果而产生的高液位工况。  这种情况下传感器部分就产生了危险失效,风险能不能接受呢,我们需要计算场景风险的大小。这就需要几个概率参数,一是传感器低位失效的危险失效概率,二是保护措施(IPL)的失效概率。保护措施的失效概率,我们可以参考AQ3054中给定的参考数据或其他数据库选定。因此我们需要收集的是传感器低位失效的危险失效概率。数据来源形式分很多种,最理想的是用户统计数据。但目前用户此类数据收集并不是很完善,为方便问题探讨,以该例子进行LOPA分析,储罐液位高高联锁切断进料回路,SIF回路与BPCS回路共用一个液位变送器。假定场景可接受风险为1 ´10-5 ,储罐罐顶设置安全阀,安全阀按液相超压设计,失效概率为0.01,下面以两种不同可靠性参数的液位计进行分析比较。 ①一般液位变送器(Generic Level Transmitter)不可检测危险失效参数为lDU=1.25´10-6 hrs(数据来源:EXIDA SERH数据库),场景发生频率为:1.25´10-6´8760´0.01=1.1´10-4。需要的风险降低为:RRF=1.1´10-4/(1 ´10-5)=11。可以看到由于共用传感器导致的风险比可接受风险高11倍,分析后可以确认整体风险是不可接受的。因此我们认为此处共用此液位变送器是需要独立设置的。 ②若选用某品牌具有SIL2认证的液位变送器lDU=7.5´10-8hrs(数据来源EXIDA SERH数据库),场景发生频率为:7.5´10-8´8760´0.01=1.23´10-6。需要的风险降低为:RRF=1.23´10-6/(1 ´10-5)=0.123。可以看到由于共用传感器导致的风险比可接受风险低,分析后可以确认整体风险是可接受的。因此我们认为此处共用此液位变送器是可以的。 此处只是根据GB/T21109相关理念进行问题分析,并不是认为具有SIL等级认证的仪表就可以共用,只是借鉴了SIL认证仪表的相关可靠性参数lDU进行计算。若相关可靠性参数用户能从实践生产中提供,并且lDU足够低,笔者认为也是可以的。 二、 共用阀门问题 同样的,以此方法进行共用阀门的问题计算发现由于阀门未检测到的危险失效lDU的参数较高。在BPCS和SIS使用单一阀门的情况下,并且阀门失效将向SIS提出一次要求时,分析后确认整体风险是不可接受的。因此通常不推荐SIS和BPCS共用一个阀门。若阀门失效不会向SIS提出一次要求时,笔者认为是可以共用的。共用控制阀时应按照GB/T21109及GB/T50770中规定的:设计应保证SIS动作超弛(overrides)BPCS动作。一般可通过把SIS直接连接到一个电磁阀上来达到这个要求,该电磁阀可直接断开执行器的动力源,电磁阀安装在阀门定位器和执行器之间。  以上是笔者结合两部标准规范提出的关于安全仪表功能回路与基本过程控制回路共用仪表(主要是传感器和执行机构)是否需要独立设置的一些意见看法,对于新建装置的安全仪表系统设计应尽可能遵循两部标准的设计基本原则:安全仪表系统应独立于基本过程控制系统,并应独立完成安全仪表功能。对于在役装置而言,共用仪表是否独立应充分考虑仪表的特性,不能一概而论,应充分的进行风险分析评估,确定风险是否可接受,不应简单的要求必须独立。 在未有明确的相关规定之前,笔者就是否必须要独立设置阐述了一些看法,因能力有限,文中表述可能存在不妥之处,欢迎指出,共同进步。 |
|
|
