安全儀表系統(SIS)的測試是保證其功能完整性的最重要的手段,如何測試聯鎖首先得編寫SIS系統聯鎖測試規程(方法),和我們生產操作規程一樣,是聯鎖測試工作的指導性文件,是非常關鍵和重要的。沒SIS系統聯鎖測試規程的測試就是無源之水無本之木。在測試過程中,能發現SIS系統聯鎖邏輯編程或者施工接線錯誤,這些錯誤如帶到生產中,會帶來巨大的安全風險。以前,聯鎖編程錯誤屢見不鮮,之所以在聯鎖測試中未被發現,其根原因就是未編寫完善的SIS系統聯鎖測試指導性文件或者聯鎖測試人員能力不足,主要依靠SIS廠家編程人員,而SIS編程人員對工藝理解不足,導致聯鎖編程錯誤。聯鎖投用前的測試必須是企業人員自主開展,而非SIS廠家人員。SIS廠家人員參與的是FAT和SAT階段,三者有本質區別,在各種檢查中,這幾個報告均需要。
◆GB/T21109.1-2022在升版的過程中,看到了這個重大問題,并明確寫入規范,嚴肅測試規程。
GB/T21109.1-2022原文:
16.2.10 操作和維護規程可能需要修訂,有必要時應在修訂后進行:
-功能安全審核;
-SIS 測試;
-來自正常或異常操作和維護事件的經驗。
16.2.11 應為每個SIF編制書面的檢驗測試規程,以揭露未被診斷檢測到的危險失效。這些書面的測試規程應描述需要執行的每個步驟并應包括:
-每個傳感器和最終元件的正確操作;
-正確的邏輯動作;
-正確的報警和指示。
注:下列方法可用來確定需被測試的未檢測到的失效:
-故障樹檢查;
-失效模式和影響分析;
-以可靠性為中心的維護。
16.3 檢驗測試及檢查
16.3.1 檢驗測試
16.3.1.1 應使用書面的規程進行定期的檢驗測試以揭露未檢測到的故障,這些故障阻礙SIS按照SRS運行。
注1:特別要注意識別可能導致共因失效的失效原因。
注2:功能測試規程還可強調對于避免引入共因失效的需求。
◆GB/T41295.4-2022要求對在線檢測的聯鎖測試規程進行復審
GB/T41295.4-2022原文:
9.4在線測試
9.4.1 在線測試可保證工藝的連續性,但需要考慮到可能產生導致過程誤停車的風險。
9.4.2 為盡可能地避免誤停車,在測試開始前宜對測試規程進行一次復審,復審人員包括來自設備、電氣和操作維護的技術人員。這個團隊考慮審核以下內容:
-討論功能安全系統中操作員的重要性情況;
-對功能安全系統的功能描述進行復審;
-對功能安全系統的功能測試規程進行復審;
-討論是否在線測試會影響其他系統,如基本過程控制系統,報警或其他安全功能;
-討論工作范圍,具體到待考慮的參數是什么,壓力、溫度或是液位等;
-討論當產生每個報警時,為什么需要告知操作人員;
-討論當旁路系統時,哪些設備將不再起作用;
-與操作人員復審在測試時那些特別需要注意的事項;
-當輸入處于旁路測試時,討論當安全功能發生非計劃停車時宜采取什么動作。
眾多規范對聯鎖測試規程如此重視,可見其重要性。SIS系統聯鎖測試規程也是眾多檢查過程的必查項,在各種安全檢查和企業分級評價中作為重要檢查內容。那么SIS系統聯鎖測試規程該如何去編寫呢,下面列分享一個案例,僅供參考。
SIS系統聯鎖測試規程
1 總則
1.0.1 為規范安全儀表系統聯鎖測試方法,制定本規程。
1.0.2 本規程適用于安全儀表系統及SIF回路功能檢測。
1.0.3 安全儀表系統的聯鎖檢測應根據設計文件及有關標準檢測。
1.0.4 安全儀表系統檢測應保留原始測量數據及相關參與人員和確認人員簽字,并歸檔保存。
1.0.5 進行安全儀表系統SIF回路檢測時,不得影響生產過程的安全保護。
1.0.6 安全儀表系統SIF回路檢測除符合本規程外,還應符合國家及行業現行有關技術標準規定。
2 術語和縮略語
2.1 術語
2.1.1《保護層分析(LOPA)方法應用導則》AQ/T3054-2015、《功能安全應用指南 第2部分:設計和實現》 GB/T41295.3-2022、《過程工業領域安全儀表系統的功能安全》GB/T21109.1-2022規定的相關術語適合于本規程。
縮略語和簡稱
ALARP As Low As Reasonably Practicable(在合理可行的前提下盡可能低)
ANSI American National Standards Institute(美國國家標準學會)
BPCS Basic Process Control System(基本過程控制系統)
COF Common Cause Failure(共因失效)
DC Diagnostic Coverage(診斷覆蓋率)
EUC Equipment Under Control(受控設備)
HAZOP Hazard and 0perability Study(危險與可操作性分析)
HFT Hardware Fault Tolerance(硬件故障裕度)
IEC International Electrotechnical Commission(國際電工委員會)
IPL Independent Protection Layer獨立保護層
ISA Instrumentation,systems and Automation Society(儀表、系統和自動化學會)
LOPA Layer of Protection Analysis(保護層分析)
MTTR Mean Time to Failure(平均失效時間)
PFD Mean Time to Restoration(平均修復時間)
PFDavg Average Probability of Failure on Demand(要求時的平均失效概率)
PLC Programmable Logic Controller(可編程邏輯控制器)
SFF Safety Failure Fraction(安全失效分數)
SIF Safety Instrumented Function(安全儀表功能)
SIL Safety Integrity Level(安全完整性等級)
SIS Safety lnstrumented System(安全儀表系統)
SLC Safety Life Cycle(安全生命周期)
STR Spurious Trip Rate(誤停車率)
Ti TestInterval(檢驗測試周期)
3 基本規定
4 安全儀表系統的檢測周期
參閱技術文章《怎樣確定SIS系統檢驗測試周期(TI)》和文章《SIS檢驗測試及檢驗測試間隔的要求》。
5 系統機柜附件檢查
6 電源和接地檢查
6.1 接地檢查
a、測量儀表及安全儀表系統應實施工作接地,信號回路的接地應采用單點接地方式;單屏應在機柜間工作單端接地,總屏應雙端接地,機柜間接保護接地。
b、檢查接地導線是否符合要求:室內安裝的單臺儀表的接地導線:1mm2~2.5mm2;現場儀表或接線箱的接地連接導線:2.5mm2~4.0mm2;機柜內匯流排或匯流導軌之間的連接導線:4.0mm2~6.0mm2;機柜到接地匯總板或匯總板之間的接地干線:10mm2~25mm2;接地裝置引出線:25mm2~70mm2;接地系統的標識顏色應為黃、綠相間兩色或綠色。
c、檢查各接地點牢固可靠,儀表盤、柜、盤內配線,同一個接線端子上的連接芯線不應超過兩芯。
d、測量接地電阻(鉗形表或者萬用表均可)測量接地電阻,儀表及控制系統的接地電阻為工頻接地電阻,不應大于4Ω,儀表及控制系統的接地連接電陽不應大于 1Ω為合格。
注意:只有接地電阻檢查合格才允許給上電檢查
6.2 電源性冗余性
檢查24VDC二極管及其冗余狀況,檢查按2.1方式正常工作,24VDC指示繼電器工作及報警狀態是否正常。
檢查步驟
a、安全儀表系統的所有工作電源開關全部斷開,注意斷電順序應從下到上。
b、主電源上電,測量安全儀表系統雙路供電交流電源及24VDC直流電源上口PSU1、PSU2的供電空開處交流電壓是否正常,滿足電壓范圍為(220±22)V。
c、對安全儀表系統UPS1電源測試,對安全儀表系統UPS1來電源開關送電,觀察安全儀表系統自身電源的電源指示燈及卡件是否工作正常;對安全儀表系統UPS1來電源24VDC直流電源PSU1供電,觀察PSU1電源指示燈是否指示正常,風扇是否工作正常。
d、用萬用表測試PSU1輸出電壓是否正常,輸出范圍是否滿足(24±1)V,對安全儀表系統逐級上電,注意:上電順序為由上到下(SIS系統)。觀察安全儀表系統的繼電器端子板、繼電器、安全柵等指示燈是否正常。
f、檢查PSU1單直流電源帶上所有SIS負荷后的壓降,用萬用表測量UPS1直流電源輸出電壓,看是否還能滿足(24±1)V,如壓降過大,低于23V,則應在線調試直流電源輸出,使PSU1帶上所有負荷時輸出電壓滿足(24±1)V。
g、檢查直流電源冗余模塊PSU2輸出側電壓,用萬用表測量PSU2冗余模塊輸出電壓應為0VDC,驗證冗余模塊功能完好,不存在串壓問題。
h、對安全儀表系統停電,注意停電順序為從下到上,最后停UPS1對SIS自身及UPS1直流電源。
i、相同的方法測試UPS2單路電源對安全儀表系統的供電,重復步驟 c~h。
j、檢查完成UPS2路電源后,對UPS1路進行上電,觀察安全儀表系統是否工作正常。
k、做好上電記錄。
注意事項:
a、送電時要逐一進行送電,如不正常,馬上停電檢查,確認原因,消除故障后重新送電。
b、上電后要做電源切換試驗。一路電源正常系統可以工作。
7 后備電池檢查
后備電池的作用是一旦系統停電時,電池能夠存儲控制器里的程序以及數據,一塊性能良好的電池支持控制器里的數據6個月。
在下列情形之一這應該及時更換電池:
a、檢查后備電池的檢測,其測量電壓應為3.6VDC,如果電壓低于此值,則應更換。
b、電池的正常實用壽命為5年,如此間系統曾經停電,則系統過了三年后應該更換。
8 系統TMR_MP檢查
8.1 CPU冗余性檢測
按照控制器 TMR MP 的 3、2、1 工作方式檢查,同時按照附件表單格式記錄名MP 的工作狀態。
工作方式/安裝的控制器/冗余/工作狀態
三控制器方式/MP-A,MP-B,MP-C/HFT=2/OK
雙控制器方式/MP-B,MP-C/HFT=1/OK
雙控制器方式/MP-A,MP-C/HFT=1/OK
雙控制器方式/MP-A,MP-B/HFT=1/OK
單控制器方式/MP-A/HFT=0/OK
單控制器方式/MP-B/HFT=0/OK
單控制器方式/MP-C/HFT=0/OK
8.2 系統通道冗余性檢測
8.2.1 單卡性能檢測
對系統通道I/O回路進行檢測,對I/O卡件通道實現100%測試,繼電器應100%的動作。I/O 通道的檢查測試通常在輸入端子排加信號,其相應的通道應該動作正常。如回路測試已由甲方執行,可采用卡件通道單獨測試的方式。以下是
a、DI卡件檢查:其電源正端和ETP端子的負端電壓應大于18VDC,否則進行線路檢查。
b、DO卡件檢查:ETP端子電壓應大于18VDC,否則進行線路檢查。對于SDO卡件,同時檢查相應空余端子短接電阻情況。
c、AI卡件檢查:于兩線制而言,ETP電壓應大于18VDC。通道精度應該符合要求。AI卡件信號發生器為電流信號發生器或者可變電阻。輸入功能塊的讀數應位于819~4095之間,即電流應在4mA和20mA之間,否則進行線路檢查。
d、AO卡件檢查:ETP電壓應在1VDC~5VDC之間。對于SAO,同時檢查空余端子的短接情況。從測試程序中,逐點進行強制,強制值分別為819~4095(對應為 4~20mA),誤差范圍在0.5%內,屬于正常。
e、PI卡件檢查:在PI卡對應的端子排處,拆除接線,加上脈沖信號20~20000Hz,在測試程序中的相應點觀察顯示數值,進行比較,誤差在0.5%內屬于正常;如誤差偏大,檢查線路接觸是否良好。同時應檢查空余端子的短接檢查。
8.3 冗余性能測試
安全儀表系統卡件冗余一般有兩種方式,雙卡同時運行和單卡運行,雙卡同時運行代表有黑馬、霍尼韋爾等系統,單卡運行有Tricon、HiaGuard 等系統,均能滿足要求,測試方法有別。
8.3.1 單卡運行冗余性測試
a、在備用卡槽中插入同型號同版本的卡件,觀察安全儀表系統卡件切換功能是否完好,切換完成后,插入卡件應處于運行狀態,原運行卡件處于備用狀態。拔出原運行卡件,系統應處于正常運行狀態;可繼續插入原運行卡件SIS系統自動切換到后插入卡件,抽出備用卡件,SIS系統仍正常運行為功能完好。
b、對所有SIS的AI、AO、DI、DO卡件全部測試一遍,全部功能正常為合格。
c、對于雙卡運行的SIS系統,拔出其中一個,SIS系統應能正常運行,插入拔出卡件后再拔出另一個,SIS系統仍能繼續運行,然后插入拔出卡件,正常運行為合格。
8.4 網絡冗余性測試
查外,還應按照單網卡及單路由器工作方式檢查其冗余性能。
9 安全儀表系統性能檢查
9.1 系統性能評估:控制器的負荷檢測(系統的掃描時間)、系統內存的分配、強制信號檢查、程序下裝程序版本等。
9.2 通訊負荷的檢測:主要是檢測系統到PC-控制器,ESD系統-DCS系統,PC-PC之間的通訊站用網絡資源的測試。其沒有具體的數字體現,我們會在測試時盡量大的使各網絡終端間的數據量增大,以實現實應用中的可能最大量,來測試網絡的的通訊質量,用專用軟件以及windows自帶的task manager工具檢測是否有中斷現象等。
9.3 檢查邏輯控制器的響應時間應包括輸入、輸出掃描處理時間與中央處理單元運算時間,宜為100ms~300ms;邏輯控制器的中央處理單元負荷不應超過50%;邏輯控制器的內部通信負荷不應超過50%;采用以太網的通信負荷不應超過20%。
9.4 檢查安全儀表系統內部是否有報警,強制等。
10 各SIF回路功能安全完整性測試
10.1 測試前的準備
10.1.1 聯鎖測試前,由生產主管召集工藝操作、設備管理、儀控人員、電氣人員進行聯合測試;
10.1.2 聯鎖測試應由生產主管統一指揮,各專業相互配合;
10.1.3 儀控人員應準備好聯鎖測試的信號發生器、標準打壓設備及《聯鎖回路臺賬》、《聯鎖邏輯圖》、《聯鎖保護系統臺賬》、《聯鎖保護系統密碼臺賬》、《聯鎖設定值清單》等儀器設備和資料,電氣專業準備萬用表等檢測設備。工藝專業準備好《聯鎖保護系統聯動試驗確認單》、《聯鎖邏輯說明》等資料;
10.1.4 在聯鎖測試前,儀控人員應核對安全儀表系統組態邏輯和經過審批的《聯鎖邏輯圖》,確保安全儀表系統內邏輯和設計的一致性;
10.1.5 電氣專業對大型電機切換到試驗狀態;
10.1.6 工藝專業應確認現場設備的安全狀態,電機啟停及閥門的開啟或切斷對工藝及安全無風險;
10.1.7 聯鎖測試前,工藝主管指揮各專業就位,并保證暢通的聯絡方式,如專用對講頻道等設備的調試;
10.2 測試方法
10.2.1 測量元件的測試應從現場發送信號,避免由于傳輸信號的衰減或老檢測信號和安全儀表系統中量程組態不一致造成的測量偏差;
10.2.2 壓力傳感器應拆除現場壓力或差壓儀表,對測量元件打壓試驗,通過數值的變化觸發聯鎖的啟動,在聯鎖觸發前,現場打壓人員和儀控安全儀表系統工程師站人員密切聯系,核實壓力儀表傳輸信號的準確性、聯鎖啟動數值的正確性;
10.2.3 電阻式溫度儀表可用電阻箱進行試驗,首先查閱安全儀表系統中溫度聯鎖值對應的電阻值,通過改變電阻的方式檢測回路的準確性;熱電偶可用毫伏信號發生器檢測;
10.2.4 液位儀表和流量儀表根據現場儀表的種類,盡可能地模擬儀表參數的變化,如無法通過外加信號引起儀表信號的變化,如雙法蘭液位計、渦街流量計、質量流量計等,需要先通過HART設備檢查儀表的測量量程和安全儀表系統內量程和單位一致性,量程一致時可用信號發生器現場模擬;
10.2.5 如有現場切斷閥的聯鎖,切斷閥應人工確認其動作正確性及動作時間;配有2oo2雙電磁閥的切斷閥,應首先斷開一個電磁閥的開關,檢測切斷閥功能的完好性,然后更換另一路電磁閥,聯鎖回路需檢測兩次;配有2oo3電磁閥的切斷閥,應依次斷開一個電磁閥,試驗三次,三次切斷閥均動作正常為合格;
10.2.6 電機的啟停盡可能的觸發現場實際動作,如大型高壓電機,電氣人員打實驗狀態,并確認其動作的正確性;
10.2.7 輔操臺的緊急停車按鈕、旁路按鈕及復位按鈕均應由操作人員操作,儀控及電氣人員不應參與操作;
10.2.8 聯鎖測試應包含旁路、復位功能的測試,儀控人員發送信號,在測試聯鎖觸發值準確后,聯鎖復位后測試旁路開關,工藝人員把檢測信號打到“旁路”狀態,儀控人員發送模擬信號,超越聯鎖值后應不能觸發聯鎖,然后再打到“投用”狀態,觸發聯鎖為合格;
10.2.9 復位按鈕不需單獨測試,聯鎖測試時可一次測試完成;
10.3 聯鎖測試記錄
10.3.1 每個聯鎖回路的測試,儀控人員要確認儀表開路報警記錄、聯鎖值觸發記錄、執行機構命令發出記錄、執行機構信號反饋記錄、旁路及復位作記錄等等在SOE中記錄的完整性;
10.3.2 聯鎖測試完成后,儀控人員應檢測安全儀表系統所有狀態的完好性確保檢測時斷開的開關處于閉合狀態,系統中的旁路及強制等全部釋放。
11 各SIF回路測試規程
11.1 SIF01加氨反應釜R001混度TIS001、TIS002、TIS003溫度高高三取二,聯鎖關閉進料閥XV001,打開冷卻水閥XV002
a、聯鎖測試總指揮及各崗位人員就位、測試工具及通訊設備完備;
b、聯鎖測試前,溫度儀表TIS001、TIS002、TIS003已經按照JJG 229-2010《工業鉑銅熱電阻規范》完成校驗,且其性能滿足要求,現場檢查安裝符合SH/T3058《石油化工安裝工程質量驗收統一標準》,溫度儀表能準確測量反應釜內介質溫度。
c、判斷切斷閥所配電磁閥是單電磁閥、雙電磁閥并聯或者雙電磁閥串聯。
電磁閥配置結構不同,聯鎖測試方式不同。
當電磁閥為單電磁閥時,不做特殊處理。當電磁閥為雙電磁閥并聯時,如圖所示:
首先測試電磁閥的完好性,步驟如下:
1、對電磁閥1的供電端子斷開,電磁閥1處于失電狀態。對電磁閥2在安全儀表系統軟件中實施變量“強制”,當強制為1時,進料閥xV001為打開,冷卻水閥XV002關閉,當強制為0時,進料閥XV001為關閉,冷卻水閥XV002打開。現場人員觀察閥門狀態或者通過SIS系統HMI可判斷電磁閥2的完好狀態。
2、恢復電磁閥1的供電,對電磁閥2的供電端子斷開,電磁閥2處于失電狀態。對電磁閥1在安全儀表系統軟件中實施變量“強制”,當強制為1時,進料閥XV001為打開,冷卻水閥XV002關閉,當強制為0時,進料閥XV001為關閉,冷卻水閥XV002打開。現場人員觀察閥門狀態或者通過SIS系統HMI可判斷電磁閥2的完好狀態。
3、如果步驟1、2動作均正常,則測試結論為雙電磁閥功能均完好。
當電磁閥為雙電磁閥串聯時,如圖所示:
首先測試電磁閥的完好性,步驟如下:
1、安全儀表系統軟件中對電磁閥1“強制”為1,電磁閥1處于帶電狀態。對電磁閥2的在安全儀表系統供電開關處斷開,進料閥XV001為關閉,冷卻水閥XV002為打開;恢復電磁閥2的供電,聯鎖復位后,進料閥XV001為打開,冷卻水閥XV002關閉。現場人員觀察閥門狀態或者通過SIS系統HMI可判斷電磁閥2的完好狀態。
2、安全儀表系統軟件中對電磁閥2“強制”為1,電磁閥1處于帶電狀態。對電磁閥1的在安全儀表系統供電開關處斷開,進料閥XV001為關閉,冷卻水閥XV002為打開;恢復電磁閥1的供電,聯鎖復位后,進料閥XV001為打開,冷卻水閥XV002關閉。現場人員觀察閥門狀態或者通過SIS系統HMI可判斷電磁閥1的完好狀態。
3、如果步驟1、2動作均正常,則測試結論為雙電磁閥功能均完好。
d、現場儀控專業聯鎖測試人員對加氫反應釜R001溫度TIS001、TIS002、TIS003解開信號線,鏈接溫度信號發生器。首先對TIS001溫度從低到高順序依次發送信號,同時用對講機和SIS系統工程師站及操作站人員核對發送數據和系統顯示數據是否一致,例如:現場操作人員用信號發生器發送溫度為50℃,SIS系統操作站和工程師站均顯示50℃則證明組態通道及量程均正確。逐步升高溫度,當溫度達到報警值時,核對SIS系統工程師站及操作站是否報警,確定報警值是否正確;繼續提高溫度,到達聯鎖值時,在SIS系統工程師站及操作站觀察聯鎖值狀態是否“翻轉”。依次對TIS002、TIS003開展相同的工作,證明其組態通道及報警值、聯鎖值組態的正確性。
e、由于步驟d已經檢測單點通道組態、報警值及聯鎖值的正確性,步驟c主要檢測2oo3邏輯的正確性。
11.2 測試聯鎖正確性按如下步驟進行
1、對加氫反應釜R001溫度TIS001、TIS002、TIS003從低到高逐步提高溫度值,TIS001、TIS002、TIS003溫度均打“旁路”;當溫度升高值聯鎖值時,聯鎖不啟動。
2、把TIS001的旁路切換到投用狀態,此時聯鎖依然不啟動;接著把TIS002的旁路切換到投用狀態,此時聯鎖啟動;(證明TIS003聯鎖旁路邏輯正確及2oo3部分功能完整性)
3、把TIS002旁路,此時TIS003處于旁路狀態,對SIF回路進行位,進料閥XV001為打開,冷卻水閥XV002為關閉。(證明復位功能完好)
4、把TIS003的旁路切換到投用狀態,此時聯鎖啟動;(證明TIS003聯鎖旁路邏輯正確及2oo3部分功能完整性)
5、把TIS001旁路,此時TIS001及TIS002處于旁路狀態,對SIF回路進行復位,進料閥X001為打開,冷卻水閥XV002為關閉。(證明復位功能完好)
6、把TIS001的旁路切換到投用狀態,此時聯鎖啟動;(證明TIS002聯鎖旁路邏輯正確及2oo3部分功能完整性)
SIF01功能檢測完成,做好記錄。測試過程中任何關于聯鎖的修改,均需要對全部邏輯重新檢測。
11.3系統維護工具
作者:何龍
相關閱讀
◆SIS系統并沒你想象的那么安全
◆SIS的聯鎖和DCS的聯鎖動作的區別
◆關于SIS系統中SIF回路設置細節的考慮
