SIL分析在福建LNG接收站中的应用
来源:《管道保护》杂志 作者:黎晖 陈彬 田均 陈剑健 陈实 时间:2018-7-6 阅读:
黎晖 陈彬 田均 陈剑健 陈实
中海福建天然气有限责任公司
LNG(液化天然气)的气化及输送过程中存在易燃易爆介质,而且具有连续化、自动化和立体化特点,任何一个设备或部件出现故障,都有可能导致“连锁反应”,影响站场的安全运行,因而迫切需要应用先进的管理理念对接收站实施管理。
安全仪表系统(Safety Instrumented System:SIS)是保障装置工艺安全运行的重要措施,但其安全联锁控制方案配置是否合理,需要采用安全完整性等级(Safety Integrity Level: SIL)评估技术进行分析评估。本文探讨了SIL分析在LNG接收站中的应用。
1 安全完整性等级
国际电工委员会(IEC)发布的安全仪表系统(SIS)的标准定义是,专用于安全的控制系统。在生产装置或是设备可能发生危险或不采取措施危险会恶化的状态下,安全仪表系统可以控制联锁或使装置停车,从而避免其进入危险工况,保证生产、设备、环境和人员的安全,使危险和损失降到最低。
为了使安全相关系统达到相应的要求,需用安全完整性等级(Safety Integrity Level,SIL)来衡量系统实现风险降低的能力。IEC61508中将SIL划分为4级,SIL1表示能将风险降低1级,即使系统出现事故的概率降低为原来的十分之一;SIL4表示能将风险降低4级,也就是说使系统发生事故的概率降低为原来的万分之一。安全完整性等级的级别越高,系统的结构就越复杂,相应出错的概率也就越低[1-2]。具体的安全完整性等级划分见表1。
低要求操作模式是指,对一个安全相关系统提出的操作要求的频率小于或等于每年1次并且小于或等于2倍的检验测试频率的安全仪表功能。其余为高要求操作模式。
2 SIL定级和验证
2.1 SIL定级
IEC61511-3(GB/T 21109-3)在附录中推荐了4种SIL定级方法:半定量方法、安全层矩阵法、校正的风险图及风险图[3-4]。
其中,校正的风险图法是指,在风险评估(如HAZOP)基础上,采用风险图表(RISKGRAPH)的方法确定安全仪表功能的完整性等级。风险图表法通过4个参数之间的关系,反映出当安全仪表系统故障或安全仪表系统未设置时可能出现的危险状态。这4个参数是:
S 危险事件后果(后果参数)
F 人员在多次暴露的危险区域的出现频率(暴露参数)
P 避免危险事件后果的可能性(避免参数)
W 有害事件发生概率(需求参数)
图1为S、F、P、W 4个参数与SIL等级之间的对应关系。评估出S、F、P、W 4个参数的级别,就可确定对应的SIL等级。
图1 安全风险图
2.2 SIL验证
SIL验证就是通过检验和测试,证明安装完毕并调试了的安全仪表系统达到了安全要求规格书中规定的要求。
SIL验证包含以下6个部分:①审查实际安全仪表系统与技术文档的一致性。②检查安全仪表系统的全部功能是否满足规格书要求。③检验安全仪表系统的各项主要功能。④测试异常操作情况下安全仪表系统。⑤审查安全仪表系统的硬件结构是否符合IEC61508要求。⑥计算安全仪表系统中安全功能的安全完整性等级。
(1)IEC61508对硬件结构的约束
A型和B型相关子系统的结构约束将会依照IEC61508-2 中的相关表格(见表 2、表 3),SIL等级将会受限于安全失效分数(SFF)和硬件故障裕度(HFT)。
(2)安全失效分数
利用FMEA(Failure Mode Effect Analysis)分析方法可将仪表故障分为4种模式(见表4):显性安全故障λsd(如雷达液位计高频模块故障)、隐性安全故障λsu(如电流输出短路)、显性危险故障λdd(如压力传感器损坏)和隐性危险故障λdu(如电流输出“冻结”)。
安全失效分数(Safe Failure Fraction SFF)计算公式如下:
SFF= (λsu + λsd + λdd )/( λsu + λsd + λdd + λdu )
(3)硬件故障裕度
硬件故障裕度(HFT)指部件或子系统在出现一个或几个硬件故障的情况下,功能单元继续执行所要求的仪表安全功能的能力。硬件故障裕度是对冗余程度的一种描述。一个硬件故障裕度(HFT)N意味着N+1个故障将引起安全功能丧失。除了通过合适的设备选择以外,还可以通过子系统冗余设计满足所需要的安全等级。表5是ANSI/ISA-84.00.01给出的有关现场设备的最小故障裕度(HFT)与SIL等级的对应关系。
可以通过增加硬件故障裕度的方式来获取较高的SIL等级。2.3 SIF回路的 PFD值计算
(1)整体计算思路
安全仪表功能的平均失效概率(PFD)由各元件相叠加,利用“故障树”来完成,如图 2所示。
图2 安全仪表功能(SIF)的故障树
每个元件的平均故障率为:
λ = 故障率;
TI = 功能测试间隔;
安全仪表回路的PFD值为:PFDSIF =PFD传感器+PFD逻辑单位+PFD执行单元
(2)共因失效的处理
仪表回路故障可分为2类:硬件随机故障和系统故障。
前者假定任何元件随机发生导致仪表回路故障,独立的硬件随机故障的发生有一定的概率,这个概率是可以计算出来。来自于一个单个原因引起的共同原因故障,可能影响超过一个器件而导致仪表回路故障,这些故障叫作系统故障。这样的故障包括设计或错误的规范、制造错误、维护能力差等。外部原因也可以导致系统故障(如火灾、水灾、电源故障或无仪表风等)。
β系数方法适合用来估算仪表回路的共同原因故障。根据IEC61508-6 典型的共同原因故障的β值在1%~10%范围内。因此,10%可以作为共同原因故障导致危险发生的β值。
β系数用于传感器和最终元件PFD值的计算, PFD共因 = β×PFD器件
3 SIL在LNG接收站的应用
3.1 资料准备
(1)SIL定级
①管道和仪表流程图(P&ID)。②设计基础。③工艺控制说明。④仪表控制逻辑图或因果图。⑤危险分析结果。⑥SIL主席要求提供的其他资料。
(2)SIL验证
①管道和仪表流程图(P&ID)。②工艺控制说明。③安全仪表系统安全手册、安全要求规格书。④安全仪表系统硬件设计图、网络结构图。⑤安全仪表系统硬件失效参数。⑥安全仪表系统仪表控制逻辑图、因果图及说明。⑦安全仪表系统调试记录和报告。⑧安全仪表系统的变更和人员培训记录。⑨SIL主席要求提供的其他资料。
3.2 执行者
(1)SIL定级
经过专业培训的SIL主席、SIL秘书、仪表工程师、工艺工程师、安全工程师等组成SIL分析小组进行SIL分析。其他专业人员(如检维修人员、设备工程师等)必要时应参会解答相关问题,帮助会议顺利进行。
(2)SIL验证
经过专业培训的SIL主席和SIL秘书进行资料收集、现场检查及SIL验证分析,编写SIL验证报告,并提交SIL验证小组审查。SIL验证小组应至少包含仪表工程师、工艺工程师、安全工程师等各专业人员。3.3 SIL定级和验证结果
本次SIL定级研究共针对64个SIF进行了分析。分析过程中分别考虑了针对安全、环境和资产的SIL要求,从而确定总体的SIL要求。SIL定级分析的结果汇总见表6。
本次SIL验证回路共51个,SIL等级要求分别为SIL1、SIL2二种。对于验证无法通过的回路,提出了相应的整改方案。部分验证结果见表7。
对于不满足要求的14-PALL-0009,提出相关建议。
(1)分析联锁的基本功能要求,分析是否能够减少回路中最终元件的数量。
(2)改变执行元件中01-XS-0032A 的检验周期,由1次/3月改为1次/月,计算PFDavg能不能满足SIL2要求。4 结论
对福建LNG接收站安全仪表系统进行安全完整性等级评估,及时发现安全仪表系统设计或应用的不足,提出改进措施,保证安全仪表系统的合理性和有效性,对保证接收站的安全运行、防止发生重大事故具有重要意义。随着SIL分析在我国的推广,必将在提升工业安全性能、降低用户成本等方面发挥更大作用。
参考文献:
[1]IEC61508:Function safetyelectrical, electronic,programmableelectronic safety-related systems,2010
[2] GB/T20438:电气/电子/可编程电子安全相关系统的功能安全,2006
[3]IEC61511:Function safety: safety Instrumented Systems for the process industry sector, 2003
[4]GB/T21109:过程工业领域安全仪表系统的功能安全,2007
作者:黎晖,男,1972年生,硕士,中海福建天然气有限责任公司副总经理,主要研究方向为:LNG站线项目生产管理、设备设施完整性管理、长输管线建设、数字化管道建设与应用。
《管道保护》2017年第3期(总第34期)
上篇:
下篇: