當SIS和基本過程控制系統(BPCS)存在某些環節共用時,是否算符合要求的SIS是經常討論的問題,本文將從標準要求和工程實踐兩個方面對上述問題進行分析探討。
1、獨立保護層
石油化工裝置內特定場景的風險可以通過不同措施加以降低,較常用的措施如圖1所示。風險降低措施包括獨立保護層和非獨立保護層,風險降低措施的選擇根據法律、法規、標準及規范的要求、HAZOP分析和保護層分析(LOPA)以及工藝設計等方面綜合考慮確定。獨立保護層在降低風險過程中起著重要的作用,并且會直接影響到需求的安全儀表功能(SIF)的SIL等級。
圖1 不同保護措施帶來的風險降低
文獻中對獨立保護層的定義為:一種設備、系統或行動,能夠有效防止場景向不期望后果發展,與場景的初始事件或其他保護層無關。獨立性表示保護層的執行能力不受初始事件或其他保護層失效的影響。獨立保護層的有效性和獨立性應具有可審查性。從定義可以看出獨立保護層需要滿足三個基本要素:有效性、獨立性和可審查性。
如果在LOPA分析過程中對于同一場景,SIS和BPCS分別以獨立保護層的形式進行了風險削減降低,那么為了滿足獨立保護層的獨立性,SIS和BPCS應完全獨立設置,包括測量儀表、最終執行元件和邏輯控制器。SIS和BPCS共用會改變LOPA分析中的相關保護措施的風險削減取值,應重新進行分析,由此會改變SIS需要承擔的風險降低需求,相當于SIS承擔了原本由SIS和BPCS共同承擔的風險降低需求。
2、標準相關要求
2.1 基本原則
本文按文獻的相關要求對SIS和BPCS是否可以共用進行分析。
三個標準針對SIS和BPCS是否可以共用的基本原則是一致的,都明確要求SIS和BPCS應獨立,這也是獨立保護層的基本要求。如文獻中要求:SIS應獨立于BPCS;SIS不應介入或取代BPCS的工作;BPCS不應介入SIS的運行或者邏輯運算;BPCS不應執行SIL1及以上的安全功能。
2.2 標準的具體要求
三個標準在具體要求上是不一致的,如針對測量儀表和控制閥的SIL1場景文獻中要求是:SIS和BPCS可共用;文獻中要求是:BPCS作為獨立保護層的前提條件是BPCS和SIS應獨立;文獻中要求是:在滿足前提條件下,SIS和BPCS可共用。
根據文獻對SIS和BPCS是否可以共用的要求見表1所列。
表1 不同SIL級別對SIS和BPCS是否可以共用的要求
從表1中可以看出,文獻對于SIS和BPCS是否允許共用的前提條件只限定在SIL級別,沒有給出其他的前提條件。目前,文獻正在修訂,筆者認為
表1中的規定應該會做相應的修訂,以保持和SIS及獨立保護層的理念相協調。
按照文獻的要求,當一個設備作為SIS的一部分時,則不應同時用于BPCS,這樣要求的目的是可以避免該設備失效時,導致BPCS和SIS同時失效。當SIS和BPCS有共用設備,并且共用設備的危險失效可能要求SIS執行安全功能時,就會引入新的風險,風險的大小與共用設備的危險失效率相關。因共用設備故障時會要求SIS執行安全功能,而SIS對此無法作出響應,即不能成功執行對應的安全功能,又無法實現風險降低的目的。因為風險大小和事故發生的頻率有關,只有當共用設備的失效概率足夠低,并經分析后確認其風險可接受,此時可認為SIS和BPCS可以共用設備。對于SIS和BPCS是否可以共用設備,需要進行分析以保證共用設備的危險失效率足夠低,確認其失效后的風險可接受。SIS和BPCS使用共用傳感器或者共用控制閥的前提條件是相關設備的失效率足夠低且SIS能在要求的時間內把過程置于安全狀態。實際的情況是,即使對于SIL1的應用場景,也很難做到這一點。
3、實際工程中的執行原則
3.1 基本原則
SIS和BPCS應獨立,包括測量儀表、最終執行元件和邏輯控制器,SIS和BPCS的獨立性示意如圖2所示。如受某些條件所限,確需共用時應滿足
3.2中的前提條件,當不能滿足時,SIS和BPCS應獨立或重新進行風險評估分析,優化工藝流程和保護措施,尋求合理、客觀的解決方案。
圖2 SIS和BPCS獨立性示意
實際工程中可執行的原則如下:
①針對新建裝置,SIS和BPCS應獨立。
②針對在役裝置,原則上SIS和BPCS應獨立。當受客觀條件所限不具備改造可能性或者改造過程中會帶來新的風險,在滿足3.2中共用的前提條件時,SIS和BPCS可共用。如果不能滿足3.2中的條件,應重新進行風險評估分析,優化工藝流程和保護措施,尋求合理、客觀的解決方案。
③SIS和BPCS有單一配置的共用設備,如果BPCS作為初始事件或作為獨立保護層,則共用設備所在SIF回路的SIL等級一般限制在不超過SIL1,即SIL2及以上等級的回路不宜共用。這樣考慮的原因是,SIS和BPCS共用可能會提高SIF回路的SIL等級需求,如對于原本要求SIL2等級的回路,提高要求后,可能會變為為SIL3(例如4.1場景的延伸),按標準要求SIL3等級的回路通常需要設置冗余架構,即HFT≥1,此時已經不能由單一測量儀表或執行元件實現。
④SIS和BPCS有安全性冗余配置的共用設備,如“1oo2”配置或“2oo3”配置,SIL2是否允許SIS和BPCS共用,應按照具體應用場景及所采用設備的具體情況進行風險分析和SIL驗算,根據分析結論及驗算結果評估確定。
3.2 共用的前提條件
3.2.1 BPCS作為初始事件或者獨立保護層
如果SIS和BPCS共用設備,BPCS為獨立保護層,共用設備應同時承擔原來由BPCS和SIS各自作為獨立保護層承擔的風險消減,即共用設備需要承擔BPCS和SIS消減風險任務的總和;BPCS為初始事件,共用設備應該具備BPCS和SIS消減風險能力的總和。
因此,共用設備的危險失效率必須足夠低,其安全完整性的要求可能改變,比如從SIL1變成SIL2,并且應符合安全生命周期的所有相關要求。
安全生命周期的要求包括:SIS指令優先、BPCS指令不能干擾和降低SIS指令功能、相關儀表和系統失效率滿足要求、要按照文獻[2]和文獻[3]的規定執行,包括記錄、檔案管理、維護管理、檢維修周期、需要進行SIL驗證確認滿足要求的SIL等級、各個獨立保護層總失效頻率能滿足風險降低的需求等。
3.2.2 BPCS不作為初始事件和獨立保護層
如果SIS和BPCS共用設備,BPCS不作為初始事件和獨立保護層,應符合安全生命周期的所有相關要求,必須充分考慮BPCS操作維護等對SIS的影響。
3.2.3 共用設備元件對操作模式的改變
SIS為靜態系統,BPCS為動態系統,當二者存在共用設備元件時,共用設備元件的工作模式就是動態連續模式。因此,SIS和BPCS共用設備元件會引起操作模式的改變,由低要求模式變為連續模式,相關設備元件的操作習慣、維護規程和策略均應做相應改變。SIS為靜態系統是比喻,SIS在生產正常時處于監控待命狀態,一旦生產裝置或設施出現可能導致安全事故的情況時,能夠瞬間準確動作,使生產過程安全停止運行或自動導入預定的安全狀態。
從以上三個方面的分析可知,SIS和BPCS共用設備元件對安全功能回路的PFDavg(PFH),HFT,SC的要求都有影響。只有滿足共用設備元件的危險失效概率足夠低、符合安全生命周期的所有要求、充分考慮了BPCS操作維護等對SIS的影響以及按連續模式編制相關維護規程及策略等前提條件后才能共用。
4、工程應用
4.1 低低液位聯鎖保護
加氫裝置熱高壓分離器(V103)設有低低液位聯鎖保護。液位低低時,聯鎖關閉V103底部出料切斷閥XZV101,流程圖示例如圖1所示。為便于說明,本案例進行了簡化,例如獨立保護層中的“報警和人員響應”假設有獨立的操作閥門;假設SIS和BPCS獨立,包括測量儀表、最終元件和邏輯控制器。SIF(低低液位聯鎖防止高壓竄低壓)的LOPA分析見表2所列。
表2 低低液位聯鎖保護LOPA分析
如果SIS和BPCS共用控制閥,為BPCS故障初始原因和SIS存在共因失效,當共用的控制閥故障,會同時造成BPCS和SIS的失效,存在同時失去BPCS和SIS各自承擔的削減風險能力的可能性。因此,如果共用控制閥,上述LOPA需要重新分析,為便于討論這里將分析進行了簡化,如3.2.1 所述,共用設備需要承擔BPCS和SIS消減風險任務的總和,即SIS需求的風險減低會由10-1變成10-2,相當于SIL級別要求由SIL1變為SIL2或者SIL1的上限值10-2,所以SIS和BPCS共用設備對PFDavg(PFH),HFT,SC的要求都有影響。
通常來說,SIS和BPCS共用時,共用環節可能需要由更高級別的儀表實現,如本例中,獨立時可以采用SIL1的控制閥,共用后,可能需要采用SIL2的控制閥。
由于共用的控制閥參與BPCS控制,SIF從低要求模式變為連續模式,其操作和維護模式及策略都應相應的改變。
4.2 雙電磁閥配置
工程實踐中,共用控制閥是討論較多的問題,方案一般采用2臺電磁閥,1臺由SIS控制,1臺由BPCS控制,這樣的配置是否算SIS和BPCS獨立,是否算符合要求的安全儀表系統,是否滿足標準要求。答案是明確的,上述雙電磁閥配置不算SIS和BPCS獨立,不滿足獨立保護層的獨立性要求。即使采用了雙電磁閥配置,控制閥的執行機構、閥體等環節是共用的,仍然存在共因失效,所以不能算作SIS和BPCS獨立。事實上,相對于電磁閥,執行機構和控制閥閥體等環節的失效概率更大,特別是要求具有嚴密關斷(TSO)的控制閥,嚴密關斷要求對于閥門整體失效率影響是較大的。
4.3 “一入兩出”式信號分配器
針對測量儀表采用同一個儀表,由“一入兩出”式信號分配器輸出2個信號,1路送至SIS,1路送至BPCS,是否算作SIS和BPCS獨立也是工程實踐中經常遇到的問題。同樣,答案也是明確的,采用“一入二出”信號分配器不算SIS和BPCS獨立,單一測量儀表仍然是共因失效環節,而且是共因失效概率較大的環節。
5、客觀理解共用
事實上,SIS和BPCS不可能做到絕對的獨立,比如:儀表空氣供氣管線及設備、伴熱管線及系統、沖洗系統、系統總輸入電源、節流裝置、均壓環等環節,都存在不同程度的共用,從客觀上理解這些共用的環節,有一個共同的特點,就是在工程設計合理并符合相關工程技術標準的前提下,這些環節都滿足文獻[3]對于共用環節失效率足夠低的要求,如節流裝置屬于簡單元件,在一定的前提下(比如非易凝結工況),可以認為失效率足夠低。
因此不能因為存在這些共用環節,就放低對SIS和BPCS獨立性的要求,針對測量儀表、最終元件和邏輯控制器需要嚴格遵循標準要求。
6、國外工程公司案例
結合國外某知名公司的企業標準舉例說明國外工程公司對SIS和BPCS共用問題的要求。該公司企業標準要求如下:
除了下述a)和b)列出的情況外,要求SIL1及以上安全功能中使用的所有元件均應獨立于BPCS,即SIS應獨立于BPCS。
①最終元件。如果SIS和BPCS共用控制閥,應同時滿足以下兩個條件:
a)控制閥故障不是初始事件或者獨立保護層的一部分。
b)控制閥無TSO要求。
如果不能同時滿足上述條件,則控制閥不應參與SIL驗算,不應作為SIF的執行元件,也不應將控制閥視為容錯要求的一部分。
②測量儀表。以下三個條件都滿足時才允許SIS和BPCS共用測量儀表:
a)要求為SIL1或者SIL2(不允許用于SIL3)。
b)同時采用了安全性冗余和可用性冗余(比如“2oo3”配置)。
c)“三取中”的信號作為BPCS的控制信號。
同時還應滿足的要求包括:共用的測量儀表由SIS供電,而不是由BPCS供電;不同測量儀表之間應采用在線對比診斷技術。
信號共享方案推薦采用SIS輸出信號硬接線至BPCS輸入卡件或者采用通信信號,通常用于SIS和BPCS為同一廠家產品,不推薦在信號輸入SIS前設置信號分配器。
7、結束語
執行功能安全相關標準要求,設計符合要求的安全儀表系統是安監局116號文及相關法律、法規、標準及規范的基本要求,必須嚴格執行。獨立保護層的基本概念和屬性決定了實現SIL1及SIL1等級以上安全功能回路的SIS應和BPCS獨立,新建項目中應嚴格執行,在役裝置同樣建議執行,當有客觀困難使其不可能實現時,應針對具體的情況進行具體分析;如確需共用時,應滿足3.2提出的共用的前提條件和要求,當不能滿足時,應重新進行風險評估分析,優化工藝流程和保護措施,尋求合理、客觀的解決方案。
作者:范詠峰(中科合成油工程有限公司),王愛平(中科合成油工程有限公司),曾德智(中國化學賽鼎寧波工程有限公司)
