SIS安全聯(lián)鎖功能可用性分析
作者:王秉義 張惠良 左信 《石油化工自動(dòng)化》
摘要:安全完整性等級(jí)(SIL)是衡量安全儀表系統(tǒng)(SIS)安全防護(hù)能力的重要指標(biāo),SIS的配置高,對(duì)裝置生產(chǎn)安全具有有效的防護(hù)能力。反之,雖然SIL等級(jí)滿足了安全要求,但由于誤停車率過(guò)高(可用性差),將使生產(chǎn)無(wú)法正常進(jìn)行,而引起巨大的經(jīng)濟(jì)損失。目前,SIS自動(dòng)投用率普遍偏低,誤停車率高是其中一個(gè)主要原因。闡述運(yùn)用馬爾可夫模型求解SIF平均誤停車時(shí)間間隔(MTTFS)指標(biāo)和平均誤停車概率(PFS )指標(biāo),以實(shí)例說(shuō)明在分析SIF中綜合考慮SIL和平均誤停車性能指標(biāo),對(duì)保障SIF的自動(dòng)投用,提高生產(chǎn)安全保障能力的重要性。
關(guān)鍵詞:安全儀表系統(tǒng) 安全儀表功能 可用性 誤停車率 安全完整性等級(jí)
安全儀表系統(tǒng)(SIS)是裝置安全生產(chǎn)的重要保護(hù)層,其與DCS在可靠性與可用性要求方面具有不同的特點(diǎn)。DCS要求在可靠的前提下力求最大的可用度,以使操作員能對(duì)工藝過(guò)程進(jìn)行靈活干預(yù),從而保持生產(chǎn)過(guò)程平穩(wěn);SIS系統(tǒng)則要求在一定的可用條件下,尋求最大的可靠度,其時(shí)刻監(jiān)視過(guò)程參數(shù)的變化,一旦超限,即采取系列動(dòng)作以避免事故的發(fā)生,或遏制事故的發(fā)展。換言之,SIS的執(zhí)行機(jī)構(gòu)平時(shí)并不動(dòng)作,只在有要求時(shí),執(zhí)行機(jī)構(gòu)才執(zhí)行安全要求規(guī)格書(SRS)所規(guī)定的動(dòng)作。但配置SIS系統(tǒng)是一把雙刃劍,合理的系統(tǒng)配置(安全功能)是安全生產(chǎn)的一道有效保護(hù)墻,但不恰當(dāng)?shù)呐渲?/span>則會(huì)因高頻度的誤動(dòng)作而引起頻繁停車,從而造成巨大的經(jīng)濟(jì)損失。
根據(jù)殼牌公司對(duì)安曼的一個(gè)LNG廠SIS系統(tǒng)配置調(diào)查,SIS安全功能的過(guò)度配置占67% 左右,如圖1所示。
注:取消變送器78個(gè);取消閥門14只;第一年節(jié)省費(fèi)用大于100萬(wàn)美元
由此可見(jiàn),不合理的SIS系統(tǒng)聯(lián)鎖配置不但增加了SIS系統(tǒng)的成本,而且也因誤動(dòng)作而造成巨大經(jīng)濟(jì)損失,提高了系統(tǒng)投資與維護(hù)成本。
1、SIS安全聯(lián)鎖投用率偏低的原因分析
目前SIS系統(tǒng)自動(dòng)投用率普遍較低,通過(guò)對(duì)公司生產(chǎn)裝置所配備的SIS投用情況分析,可歸納為以下四方面因素:
a)裝置聯(lián)鎖保護(hù)誤停車率高。導(dǎo)致誤停車的主要原因:
1) 生產(chǎn)裝置普遍缺乏適時(shí)的風(fēng)險(xiǎn)評(píng)估。尤其是設(shè)計(jì)僅考慮裝置局部安全風(fēng)險(xiǎn),沒(méi)有考慮對(duì)上下游裝置運(yùn)行影響進(jìn)行整體評(píng)估。對(duì)生產(chǎn)裝置進(jìn)行風(fēng)險(xiǎn)評(píng)估,是核定SIS所需安全完整性等級(jí)(SIL)的基礎(chǔ),應(yīng)該綜合全局考慮。對(duì)風(fēng)險(xiǎn)的容忍程度與企業(yè)技術(shù)及管理水平、社會(huì)經(jīng)濟(jì)發(fā)展水平、社會(huì)環(huán)保安全意識(shí)等密切相關(guān)。隨著社會(huì)經(jīng)濟(jì)的發(fā)展,以及人們環(huán)保意識(shí)的提高,對(duì)安全要求越來(lái)越高。隨著企業(yè)生產(chǎn)技術(shù)水平與管理水平的不斷提高,對(duì)生產(chǎn)工藝的調(diào)整,使得對(duì)安全儀表功能(SIF)的SIL提出新的要求。然而,在役SIS自投用以來(lái)(或隨成套工藝包配置),其SIF的SIL一直未做調(diào)整,其SIF配置、聯(lián)鎖動(dòng)作參數(shù)設(shè)置等方面難以保障當(dāng)前裝置平穩(wěn)、安全生產(chǎn)的實(shí)際需要。
2) SIS普遍缺少SIF的SIL核算(安全風(fēng)險(xiǎn)、財(cái)產(chǎn)風(fēng)險(xiǎn)及環(huán)境風(fēng)險(xiǎn))。目前,SIF的設(shè)計(jì)一般依據(jù)經(jīng)驗(yàn)選擇。首先,SIS一般缺乏儀表部件失效數(shù)據(jù),如傳感器和執(zhí)行機(jī)構(gòu)(電磁閥、截?cái)嚅y等),由于資金等原因沒(méi)有選用具有SIL等級(jí)能力認(rèn)證的儀表與執(zhí)行機(jī)構(gòu);其次,雖在關(guān)鍵裝置上配備了SIS系統(tǒng),但缺少對(duì)儀表可靠性數(shù)據(jù)的統(tǒng)計(jì)收集(經(jīng)使用驗(yàn)證的儀表用于SIS最具說(shuō)服力,但缺少統(tǒng)計(jì)數(shù)據(jù)說(shuō)明,僅憑感覺(jué)將缺乏可信度);其三,依據(jù)GB/T21109[4] 對(duì)SIF的SIL等級(jí)進(jìn)行核算普遍缺失,雖然生產(chǎn)裝置配置了SIS系統(tǒng),但并不能保證其具有相應(yīng)的安全防護(hù)能力。
3) 部分成套設(shè)備配套的儀表,其質(zhì)量未能滿足SIS對(duì)儀表SIL等級(jí)能力的要求,可靠性差、使用壽命短,造成部分SIF不能投用。如實(shí)現(xiàn)大型加熱爐的進(jìn)風(fēng)控制,爐內(nèi)溫度、風(fēng)機(jī)及風(fēng)門聯(lián)鎖的執(zhí)行機(jī)構(gòu),其配置的閥桿的光潔度和硬度不如調(diào)節(jié)閥桿,并且在正常生產(chǎn)階段,該閥長(zhǎng)期處于靜止?fàn)顟B(tài),出現(xiàn)生銹或漏氣現(xiàn)象。
4) 受儀表安裝、維護(hù)質(zhì)量的影響,如堵、漏、凍凝,以及材料質(zhì)量問(wèn)題,導(dǎo)致誤停車或在要求動(dòng)作時(shí)無(wú)法動(dòng)作。
5) SIS中對(duì)安全聯(lián)鎖和一般工藝聯(lián)鎖沒(méi)有區(qū)分,使得SIF結(jié)構(gòu)復(fù)雜,難以滿足SIL要求。
6) 對(duì)SIF缺乏誤停車率指標(biāo)核算。由于不合理的配置,雖然其SIL等級(jí)滿足設(shè)計(jì)要求,但其誤停車率偏高,導(dǎo)致SIS系統(tǒng)無(wú)法在實(shí)際中投用。
b)大型轉(zhuǎn)動(dòng)設(shè)備自保聯(lián)鎖,部分條件不能滿足投用條件,而無(wú)法投用SIF功能。其原因有:
1) 原有老機(jī)組聯(lián)鎖邏輯不適應(yīng)當(dāng)前的安全規(guī)范要求,儀表配置比較低,其可靠性和穩(wěn)定性差。
2) 機(jī)組的聯(lián)鎖邏輯和設(shè)定值欠妥,生產(chǎn)廠家單純考慮機(jī)組設(shè)備本身,沒(méi)有綜合考慮其停機(jī)對(duì)裝置的影響,邏輯條件過(guò)于苛刻和嚴(yán)格。設(shè)計(jì)應(yīng)整體考慮。比如將軸系儀表、軸振動(dòng)、位移、軸瓦溫度、電機(jī)定子、轉(zhuǎn)子溫度等全部作為聯(lián)鎖停機(jī)條件,并將潤(rùn)滑油溫度不低于30℃作為機(jī)組的啟動(dòng)條件,但在東北地區(qū)很難滿足這一條件,尤其在冬天。
3) 配套儀表出廠時(shí)的安裝、配置存在不足,且后續(xù)難以修改。如大機(jī)組軸瓦溫度傳感器基本上都是安裝于機(jī)殼內(nèi)的埋入式鉑電阻,其引線極易斷。若引線開(kāi)路,其輸出超過(guò)報(bào)警值,將引起聯(lián)鎖誤動(dòng)作停機(jī)。壓縮機(jī)的振動(dòng)探頭、位移傳感器探頭安裝也存在類似問(wèn)題。
4) 機(jī)組的部分工藝條件難以達(dá)到聯(lián)鎖條件,如汽輪機(jī)出口壓力,其與蒸汽管網(wǎng)相連,單一機(jī)組不能改變其出口壓力參數(shù),致使相應(yīng)的SIF無(wú)法投用。
5) 儀表的安裝與維護(hù)質(zhì)量影響SIF的投用。如軸瓦測(cè)溫?zé)犭娮璧陌惭b工藝、軸振動(dòng)與位移探頭的安裝間隙、接線等不合適,都將引起測(cè)量偏差,而引發(fā)聯(lián)鎖誤動(dòng)作。
c)SIS的維護(hù)周期與質(zhì)量不能滿足SIF的可靠性要求。電子器件的可靠使用壽命一般為10~12年,隨著使用年限的加長(zhǎng),儀表的失效率將增加。另外,由于設(shè)備改造,SIS也需進(jìn)行擴(kuò)容。為保證SIF的SIL等級(jí)要求,需對(duì)SIS進(jìn)行定期維護(hù)和檢修(SIS系統(tǒng)部件檢修時(shí)間間隔直接影響SIF的SIL等級(jí)水平) 。在生產(chǎn)裝置正常運(yùn)行過(guò)程中,可通過(guò)“旁路”臨時(shí)切除聯(lián)鎖條件(在切除時(shí)應(yīng)有一套規(guī)范和措施以保證SIF的安全),并定期對(duì)傳感器與執(zhí)行機(jī)構(gòu)進(jìn)行必要的維修、檢定與維護(hù)。目前,一次儀表與執(zhí)行機(jī)構(gòu),尤其是執(zhí)行機(jī)構(gòu)在正常生產(chǎn)運(yùn)行期間沒(méi)有機(jī)會(huì)檢修(沒(méi)有旁路設(shè)置),因缺少及時(shí)的維護(hù),SIF回路的可靠性難以保證。
d)SIS報(bào)警缺乏層次,故障報(bào)警較多,易引起操作員麻痹,導(dǎo)致誤操作。如多機(jī)組SIS系統(tǒng),在備用機(jī)組停機(jī)、油系統(tǒng)或出人口閥門處于關(guān)停狀態(tài)時(shí),由于備用機(jī)組處于非正常運(yùn)行位置,SIS系統(tǒng)就會(huì)出現(xiàn)報(bào)警。這些報(bào)警沒(méi)有層次與級(jí)別區(qū)分,致使報(bào)警過(guò)多,容易導(dǎo)致操作人員對(duì)關(guān)鍵報(bào)警信息的疏忽。
2 、SIF回路可用性分析
綜合以上對(duì)目前SIS低投用率的情況分析,主要問(wèn)題有:
a)缺少適時(shí)的SIF的SIL等級(jí)需求評(píng)估。當(dāng)前SIS的SIF配置一般都是依據(jù)經(jīng)驗(yàn)配備,但同一套裝置在不同的企業(yè)中,其附加的安全防護(hù)能力并不相同(如泄壓閥、空間距離、遠(yuǎn)程監(jiān)控能力等)。由于缺少對(duì)SIF的SIL要求的明確定級(jí),加上大部分SIS不只用于安全聯(lián)鎖目的,而且考慮方便設(shè)備重啟等問(wèn)題,將一般工藝聯(lián)鎖也配置其中。因此,聯(lián)鎖結(jié)構(gòu)比較復(fù)雜,難以明確了解實(shí)際安全聯(lián)鎖的SIL等級(jí)是否滿足要求。
b)缺少SIF的SIL等級(jí)和誤停車率核算。
目前配置SIS時(shí),主要關(guān)心其控制器的SIL能力:傳感器和執(zhí)行機(jī)構(gòu)的失效率對(duì)SIL等級(jí)的影響更大(一般在70 %以上),而傳感器和執(zhí)行機(jī)構(gòu)往往又缺少有效的數(shù)據(jù)支持,使得SIF的SIL等級(jí)未能滿足裝置安全防護(hù)能力要求,起不到應(yīng)有的安全保護(hù)作用;或者雖然其SIL等級(jí)滿足裝置安全要求,但其誤停車率過(guò)高,影響SIS的實(shí)際投用;或雖投用,但會(huì)因頻繁的誤停車而造成巨大的經(jīng)濟(jì)損失。
c)對(duì)SIF的功能安全管理缺少有效的監(jiān)控。
SIS對(duì)裝置的安全防護(hù)能力由系統(tǒng)的隨機(jī)性失效(SIL等級(jí)核算驗(yàn)證)和系統(tǒng)性失效共同決定。目前對(duì)SIF的隨機(jī)性失效的驗(yàn)證比較普遍[7]。隨著GB/T 21109安全儀表功能安全標(biāo)準(zhǔn)的推廣與采用,對(duì)系統(tǒng)性失效的考核與控制將進(jìn)一步加強(qiáng)。系統(tǒng)性失效主要由制造缺陷或不足(如上述的振動(dòng)探頭故障、聯(lián)鎖邏輯不妥、聯(lián)鎖參數(shù)設(shè)置不合理、報(bào)警重要性層次不分明等)引起。由于系統(tǒng)性失效難以量化處理,只能運(yùn)用嚴(yán)格的SIF的功能安全管理規(guī)范加以避免和減少(另文闡述)。由此可見(jiàn),在SIS系統(tǒng)SIF分析中,必須同時(shí)考核SIF的SIL等級(jí)和誤停車性能指標(biāo),才能保證SIS系統(tǒng)的有效投用。
針對(duì)SIS存在的主要問(wèn)題,筆者以圖2~3所示SIF為例,探討采用馬爾可夫模型進(jìn)行SIF可用性分析,考核驗(yàn)證SIF、的SIL和誤停車率指標(biāo)(MTTFS和PFS avg )。依據(jù)分析結(jié)果,提出合理化建議,以提高SIS系統(tǒng)的投用率,保障對(duì)生產(chǎn)裝置的防護(hù)能力。
該SIF設(shè)計(jì)為失電使能(停電時(shí),執(zhí)行機(jī)構(gòu)置于安全狀態(tài),即事故安全型),且各傳感器檢測(cè)回路和執(zhí)行機(jī)構(gòu)回路具有在線診斷能力。由于系統(tǒng)具有旁路設(shè)置和冗余配置,當(dāng)在線檢測(cè)出故障后,可在線維護(hù)與更換,檢修時(shí)間平均為8 h。SIS的整體測(cè)試間隔與設(shè)備大修周期同步,為3年。該SIF的SIL等級(jí)需求為SIL2,其各組成部分的失效數(shù)據(jù)見(jiàn)表1所列。
馬爾可夫模型具有動(dòng)態(tài)分析失效概率的能力,上述SIF馬爾可夫模型如圖4所示,其中狀態(tài)1為初始完好狀態(tài);狀態(tài)2為安全失效(誤停車)狀態(tài);狀態(tài)3為危險(xiǎn)失效狀態(tài)(對(duì)安全要求的動(dòng)作沒(méi)有響應(yīng));其余狀態(tài)4~19為存在一路檢測(cè)傳感器或執(zhí)行機(jī)構(gòu)失效,且SIF還能執(zhí)行相應(yīng)安全功能的中間狀態(tài)。處于中間狀態(tài)時(shí),若出現(xiàn)進(jìn)一步的故障,將使SIF系統(tǒng)進(jìn)入安全失效或危險(xiǎn)失效狀態(tài)。由于失效率都很小,為簡(jiǎn)化運(yùn)算,建模時(shí)不考慮級(jí)聯(lián)失效(如一路溫度傳感器失效后又出現(xiàn)一路壓力傳感器失效,但SIF還能執(zhí)行其要求的功能的情況)對(duì)計(jì)算精度的影響。
馬爾可夫狀態(tài)轉(zhuǎn)移率為
式中:λ——失效率;上標(biāo)首字母S, D——安全失效和危險(xiǎn)失效;上標(biāo)第二字母D,U——可檢測(cè)不可檢測(cè);下標(biāo)S1,S2,S3,S4,A1,A2,L,PS——流量傳感器、壓力傳感器、溫度傳感器、液位傳感器、電磁閥、截?cái)嚅y、邏輯控制器和電源。根據(jù)上述狀態(tài)轉(zhuǎn)移率,得到馬爾可夫轉(zhuǎn)移矩陣為:
MTTFS求解方法[8]為將轉(zhuǎn)移矩陣P中對(duì)應(yīng)吸收狀態(tài)(FS和FD)的行和列去掉,形成新矩陣Q,并在狀態(tài)轉(zhuǎn)移率公式中,將危險(xiǎn)失效率置零,求出截陣Qs ,并依據(jù)下式求矩陣N。
N =(I-Qs) -1
N提供了系統(tǒng)由起始狀態(tài)開(kāi)始,經(jīng)歷了每一個(gè)成功狀態(tài)(暫態(tài))后的總時(shí)間增量。N矩陣中,第一行表示起始于完好狀態(tài)l的總時(shí)間增量。假設(shè)馬爾可夫模型的時(shí)間步長(zhǎng)選為1 h,則MTTFS為矩陣N第一行元素的和。
利用建立的馬爾可夫模型(運(yùn)用ISOgraph Reliability Workbench 10.2軟件平臺(tái))和狀態(tài)轉(zhuǎn)移矩陣P進(jìn)一步求解PFDavg 、平均誤停車失效概率PSFavg 和MTTFS。分析計(jì)算結(jié)果見(jiàn)表2和圖5~6所示。
由分析可見(jiàn),此SIF的MTTFS為1.15 a。雖然該SIF不論在維護(hù)檢修時(shí)間間隔為1 a還是3 a時(shí),其SIL等級(jí)都能滿足設(shè)計(jì)要求(SIL2),但3 a的檢修時(shí)間間隔是不能接受的,因其過(guò)大的誤停車概率將引起SIS的頻繁誤停車,造成巨大的經(jīng)濟(jì)損失,而使系統(tǒng)無(wú)法實(shí)際投用。因此,對(duì)于一般企業(yè)規(guī)劃的3 a大修時(shí)間問(wèn)隔,必須重新分析考核,在滿足SIF的SIL等級(jí)要求的前提下,達(dá)到相應(yīng)的MTTFS和PFS 指標(biāo)要求,才能有效發(fā)揮SIS在企業(yè)安全生產(chǎn)中的安全防護(hù)作用。
3 結(jié)束語(yǔ)
造成SIS系統(tǒng)投用率低的原因是多方面的,但其可用性差是重要原因之一。在設(shè)計(jì)SIS或在役SIS安全性能評(píng)估中,需關(guān)注以下三個(gè)方面:
a) 適時(shí)的風(fēng)險(xiǎn)評(píng)估,核定SIF的SIL等級(jí)要求,并根據(jù)檢修時(shí)間間隔和誤停車對(duì)生產(chǎn)的影響,核定SIF的PFS 和MTTFS指標(biāo)要求。
b) 區(qū)分SIF聯(lián)鎖回路和一般工藝聯(lián)鎖,區(qū)分報(bào)警層次級(jí)別。
c) 定期核查SIF回路的SIL等級(jí)和PFS 與MTTFS指標(biāo),在保證SIF具有足夠安全防護(hù)能力的同時(shí),具有足夠的可用性,以提高SIS系統(tǒng)的投用率,防止系統(tǒng)頻繁誤動(dòng)作,從而有效提高SIS的防護(hù)能力。
參考文獻(xiàn)(略)
? 如果本文對(duì)您有幫助,請(qǐng)分享給您的朋友!
【提示】:
1.不斷更新的好資料和答疑集錦在 m.cureany.com “找資料”欄目公布。
2.QQ群:2000+人群,專業(yè)高質(zhì)、答疑解惑、互動(dòng)交流,Q群名:中國(guó)設(shè)備管理, Q群號(hào): 283752911
主要交流:設(shè)備管理體系標(biāo)準(zhǔn)、ISO55001資產(chǎn)管理、設(shè)備完整性管理、6S管理、目視管理、安全管理、企業(yè)管理等,純廣告者禁入!
3.加"中國(guó)設(shè)備管理" Q群,總有一個(gè)人知道你問(wèn)題的答案!
4.優(yōu)秀留言有機(jī)會(huì)錄入“找資料”欄目答疑集錦,并歡迎大家來(lái)稿分享