本文内容来自
中国石油化工股份有限公司济南分公司
何龙先生
高级工程师
TÜV功能安全工程师
山东省化工安全专家
化工365专家库专家
山东省工业和信息化安全专家
中国石油和化学工业联合会专家
辽宁石油化工大学创新创业学
院导师
safety instrumented system(SIS)——instrumented system used to implement one or more safety instrumented
functions.An SIS is composed of any combination of sensor(s),logic solver(s),and final
elements(s). Note 1 This can include either safety instrumented control functions or safety instrumented protection
functions or both.
安全仪表系统——用来实现一个或几个仪表安全功能的仪表系统,SIS可以由传感器、逻辑解算器和最终元件的任
何组合而成。注1:可包含仪表安全控制功能,或包含仪表安全保护功能,或都包含。
化工安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。安全
仪表系统独立于过程控制系统(例如分散控制系统等),生产正常时处于休眠或静止状态,一旦生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态,必须有很高的可靠性(即功能安全)和规范的维护管理,如果安全仪表系统失效,往往会导致严重的安全事故,近年来发达国家发生的重大化工(危险化学品)事故大都与安全仪表失效或设置不当有关。
GB/T 21109翻译IEC 61511,范围涵盖整个过程工业领域,全面论述了在过程工业领域安全仪表系统的
安全生命周期各个阶段需要做的工作和要素,全面论述了过程工业领域安全仪表系统的功能安全的整体
框架、概念定义,硬件和软件要求进行了阐述。
GB/T50770适用与石油化工工厂或装置新建、扩建及改建项目安全仪表系统的工程设计,对石油化工
工厂或装置安全仪表系统的安全生命周期按工程设计、集成调试和验收测试、操作维护三个阶段进行了
划分。
GB/T 50770《石油化工安全仪表系统设计规范》是为了防止和降低石油化工工厂或装置的过程风险,
保证人身和财产安全,保护环境而制定的工程设计标准,是GB/T 21109在石油化工领域的具体应用落实。
GB/T 21109过程工业领域安全仪表系统功能安全的详细要求;
GB/T50770安全仪表在石油化工企业的具体要求是设计标准。
安全仪表系统在IEC61511-1:2016标准中并未强调安全认证,明确说明构成SIS的标注
是:“
以往使用 ” prioruse
在GBT21109.1-2022《过程工业领域安全仪表系统的功能安全》 11.5.3基于以前在类
似运行环境的运行经验由用户开展的文档化评估以证明某个设备适用于SIS并且能达到所
需的功能和安全完整性要求。
根据“以往使用”选择设备的要求比较复杂。IEC标准在国内则转化为
安全认证
。
目前:国际上大部分的用于联锁的
测量仪表、逻辑控制器(SIS系统本身)及切断阀均不
需要安全认证,以“以往使用” 证明文件为主
。
国内
测量仪表、切断阀不需要安全认证
,以质量可靠为主(推荐使用企业已经使用过,
且有良好质量证明的测量设备和执行机构),而
逻辑控制器(SIS系统本身)以安全认证
为主
。
中石化规定:
安全仪表系统的测量仪表、执行器应具备或胜任该回路SIL 等级的能力,
不应将
SIL 认证作为安全仪表选型的必备要求
。
SIL认证是SIS系统的必要条件,
而非充分条件。
判断是不是SIS系统,有两个判断标准,一是技术标准,判断依据为IEC61511,另一个是工程标准,
主要依据是GBT50770,两个标准都满足才能是一套SIS系统。
1、查安全认证(技术标准),一般只要是SIS,都会获取德国莱茵TUV安全认证、另外比较权威的还有
法国BV, TÜV北德和美国Exida。
一般有实力的SIS系统,这些认证都会取得
。
目前假认证满天飞,由于国际上和我国没有规定谁家有认证资质,导致假证书比比皆是。但是一般
只要是有实力的SIS厂家,会优先选德国莱茵TÜV去认证。
2、硬件具备冗余性(工程标准),只要构成SIS,必须要是冗余硬件结构,一般情况下,会有三个CPU
同时运行。SIS系统的CPU、电源、输入输出卡件、通讯模块应为冗余配置。
GB50770中第8.4.5条要求:逻辑控制器的中央处理单元、输入单元、输出单元、电源单
元、通信单元等应为独方的单元.应允许在线更换单元而不影响逻辑控制器的正常运行。
独立性是SIS系统的工程标准,只要是用作联锁功能的SIS,不能用于过程调节控制。
故障安全性是SIS系统的基本标准,故障安全性除SIS系统本身硬件和软件设置以外,
一般检查时查看继电器,正常联锁没有启动时,继电器应该带电,线路接常开(NO)点,一旦SIS故障或者电源系统故障,则继电器失电,接点断开,现场电磁阀动作等。
6、安全仪表系统的SIL评估是最直接的反应安全仪表是否合格的标准,一般情况下,
主要看到SIL定级和验算报告,就知道这个SIS系统是否合格。
采用两个或多个部件或系统实现同一个功能。
根据冗余部件不同的工作方式,冗余形式分为
热备冗余、同步冗余、冷备冗余和降级冗余
四种。
热备冗余 hot standby redundancy
工作部件和冗余部件同时运行,输出结果采用工作部件的输出。当工作部件出现故障时,系统自动切换至冗余部件运行。
同步冗余 synchronization redundancy
工作部件和冗余部件同时运行,输出结果保持同步。当工作部件出现故障时,系统自动选择冗余部件的输出结果。
冷备冗余 cold standby redundancy
工作部件正常运行,冗余部件处于等待启动状态。工作部件出现故障时,系统自动或手动启动冗余部件替代工作部件运行
工作部件和冗余部件同时运行。工作部件出现故障时,冗余部件通过降低性能或增加运行负荷的方式来完成故障部件的功
能。
SIS系统的那些卡件必须冗余配置
首先,SIS系统的电源、CPU、卡件必须冗余配置。
目前国内进口SIS主流品牌:黑马、TRICONEX、 Honeywell,
非主流品牌:横河、艾默生、罗克韦尔、西门子、ABB、GE,
国产SIS主流品牌:和利时HiaGuard
康继森TSxPlus、浙江中控TCS-900、浙江优稳UW500s黑马、 Honeywell 是CPU和卡件均同步冗余;
TRICONEX 、和利时的CPU是同步冗余;
横河和西门子的CPU是热备冗余,黑马、 Honeywell 、 艾默生、罗克韦尔正常运行时AI、DI、DO是双卡,
TRICONEX 、和利时、康继森在正常运行时AI、DI、DO的卡件是单卡(单卡内部实现通
道冗余),当单卡出现故障时,可以在线更换故障卡件而不影响SIS系统运行。
讨论问题:有些安全检查要求AI、DI、DO配置双卡,是否需要配双卡?
所谓结构约束,实质上是指SIS子系统或设备的容错(Fault Tolerance)能力对所能达到的SIL水平的限制。也就是说
SIF要达到一定的安全完整性效能SIL要求,也就必须在结构上达到一定的硬件故障裕度(Hardware Fault ToleranceHFT),要满足一定的硬件容错能力,如需冗余等等。子系统的硬件故障裕度为N,表示当该子系统存在N+1个故障时,将会导致其安全功能的丧失。
1oo2 HFT=1 1oo3 HFT=2
(2011年8月5日国家安全监管总局令第40号公布 根据2015年5月27日国家安全监管总局令第79号修正)
第十三条 危险化学品单位应当根据构成重大危险源的危险化学品种类、数量、生产、使用工艺(方式)或者相关设
备、设施等实际情况,按照下列要求建立健全安全监测监控体系,完善控制措施:
(二)重大危险源的化工生产装置装备满足安全生产要求的自动化控制系统;一级或者二级重大危险源,装备紧急
停车系统
;
(三)对重大危险源中的毒性气体、剧毒液体和易燃气体等重点设施,设置紧急切断装置;毒性气体的设施,设置泄
漏物紧急处置装置。涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,配备独立的安全仪表系统(SIS);
紧急切断功能?
ESD是英文Emergency Shutdown Device紧急停车装置系统的缩写。ESD紧
急停车系统按照安全独立原则要求,独立于DCS集散控制系统,其安全级别高于DCS。
在正常情况下,ESD系统是处于静态的,不需要人为干预。作为安全保护
系统,凌驾于生产过程控制之上,实时在线监测装置的安全性。只有当生产装置出现紧急情况时,不需要经过DCS系统,而直接由ESD发出保护联锁信号,对现场设备进行安全保护,避免危险扩散造成巨大损失。
ESD (Emergency Shutdown Device):紧急停车系统,多数应用于石油和
化工系统,是一个独立于DCS系统的控制单元,在工艺发生危险状况时,对设备,环境等进行紧急的启挺,开关操作。配置设备以高档的PLC居多,多数处理DI/DO点,现在多数与DCS进行通讯。
ESD是紧急停车系统,ESD属于SIS的一部分。
SIS包括现场仪表、逻辑解决器、执行机构三部分,这三个部分都要是安
全设计的,常规的ESD系统只是SIS的逻辑解决器和执行机构两部分组成。
第九条 企业的厂房、作业场所、储存设施和安全设施、设备、工艺应当符合下
列要求:
(三)涉及危险化工工艺、重点监管危险化学品的装置装设自动化控制系统;
涉
及危险化工工艺的大型化工装置装设紧急停车系统
;涉及易燃易爆、有毒有害气体化学品的场所装设易燃易爆、有毒有害介质泄漏报警等安全设施;
(三)涉及国家安全生产监督管理总局公布的重点监管危险化工工艺、重点监管危险化学品
的装置装设自动化控制系统;
涉及国家安全生产监督管理总局公布的重点监管危险化工工艺的大型化工装置装设紧急停车系统
;涉及易燃易爆、有毒有害气体化学品的作业场所装设易燃易爆、有毒有害介质泄漏报警等安全设施;
《化工和危险化学品生产经营单位重大生产安全事故隐患
判定标准(试行)》
五、构成一级、二级重大危险源的危险化学品罐区未实现
紧急切断功能
;涉及毒性气体、液化气
体、剧毒液体的一级、二级重大危险源的危险化学品罐区未配备独立的安全仪表系统。
问题:具备什么样的功能可满足
紧急停车功能
?
要具体根据实际情况,如重点监管危险工艺,危险状态下,需要切断或者打开多个阀门,
需要ESD系统,或者一个紧急停车按钮不需要经过任何系统逻辑运算即可切断或打开阀门,也可以满足
紧急停车功能
在BPCS中做联锁逻辑实现停车功能
≠ 紧急停车系统
辅操台上的手动紧急停车按钮关闭阀门
≠ 紧急停车系统
辅操台上的手动紧急停车按钮关闭阀门
≠ 紧急切断系统
辅操台上的手动紧急停车按钮关闭阀门
= 具备紧急切断功能
1、定级时是SIL1,验算也是SIL1即合格?
需求时的失效概率PFDavg(低需求模式)
“定级结果和验算结果不一样”,个别专家认为SIL定级
如果是SIL1,验算结果也是SIL1,才是一致。
增加仪表的安全性一定能增加SIF回路的安全等级吗?
增加仪表的安全性一定能增加SIF回路的安全等级吗?
单台仪表的失效概率为:1.35E-02
SIS系统失效概率:2.67E-05
切断阀(包含附件):3.56E-02
∑PFDsys=∑PFDS+∑PFDL+∑PFDFE
RRF=20.36 SIL1
为了提高SIL等级,仪表变更为2oo3,测量仪表的失效概率变为5.39E-04,测量部分由SIL1变为SIL3
SIS系统失效概率:2.67E-05
切断阀(包含附件):3.56E-02
RRF=27.65 SIL1
安全等级几乎没有提高!
增加仪表的安全性一定能增加SIF回路的安全等级吗?
一个联锁回路的SIL等级取决于其最薄弱
的一个设备。SIF回路中任何一个环节SIL等级低,都会导致整个回路的SIL等级低,由于SIF回路中设备较多,传感器、变送器、安全栅、DI卡件、SIS系统、DO卡件、继电器、电磁阀、气控阀、、锁止阀、快排阀、执行机构------,SIF回路要达到SIL2是很困难的。达到SIL3是几乎是不可能的,除非特殊设计。
IEC标准并没有规定认证的事儿,只给出了验证计算的方法
。但是,对于使用者
来说,要计算清楚那么多元器件组成的PLC、检测仪表不是一件简单事儿,所以早早
就有安全PLC制造商取得认证来实现并证明安全功能符合IEC标准,为使用者提供了方便。
用于SIS的检测仪表、执行机构必须经过认证吗?IEC的两项标准倒是有“使用经
验法”可以免于失效计算和认证,而自然符合需要之说。
近年来认证有蔓延泛滥的趋势,一些制造商和认证机构也看准了这个商机,大肆
宣传用于SIS的仪表需要取得“权威机构”的认证,先是从某外国仪表公司的安全认证的变送器开始,继而到安全栅、继电器、电磁阀等,甚至到调节阀。
安全联锁系统的失效数据库来源主要有三部分,
第一是维护记录
,工厂的维护记录是最好的数据源,
最具有代表环境、维护规程、以及供货商关注点的信息;
第二、供货商记录
,供货商的记录数据来源主要是实
验室和工厂反馈;
第三、第三方数据库
,第三方数据库来自海上石油、
化工、以及核工业,这个数据库很贵,但是很容易买到。数据来源于不同的工厂,是工厂维护人员整理出来的成果,也有一部分来源于供货商。
这三个数据来源中,第一个是最真实的,第二个最不
可信,第三个半信半疑
。
Paul Gruhn,P.E.,CFSEHarry L.Cheddie
《Center for Chemical Process Safety》李玉明 译
GB/T21109.1—2022《过程工业领域安全仪表系统的功能安全第1部分
:框架、定义、系统、硬件和应用编程要求》11.4.9
SIL验算过程中的设备失效数据未降级使用设备的失效数据应不小于
70%
的数据库数据
紧急切断阀是安全联锁回路最关键、最薄弱的环节,一般情况下,紧急切断阀在整
个SIF回路中失效概率是最高的元件。
1、在联锁功能测试时,要检测紧急切断阀的动作正确性(完全开关功能),动作时
间。直接测试联锁即可,故障安全性联锁,任何一个元件的故障都会导致联锁的失效。(动作时间可以从SIS上记录,从发出DO命令到回讯到位的时间)
2、紧急切断阀的维修规范上并没有规定多久维修一次,一般生产商建议3-4年检修一
次,紧急切断阀的检修包括整个阀体的拆检,球体磨损情况、执行机构弹簧、活塞密封性能、泄漏实验等,必须从设备上拆下来维修。至于多久维修一次,完全要根据紧急切断阀的运行工况,如果工况恶略(比如SZorb),一般一年检修一次,如用于汽油、润滑油等,则可以6-8年维修一次。
特别注意:对于紧急切断阀的SIL证书几乎没任何意义!在选择紧急切断阀时,一定要只
选对的不选贵的,以业绩和质量为主!
世界知名的切断阀从来不拿SIL证书来证明实力
1、世界上知名切断阀,基本都是只生产阀体,执行机构是外配,比如世界知名品牌美国MAGAS用的是
MORIN执行机构、法国贵聪Guichon,用的是意大利BIFFI执行机构等强强联合(当然切断阀厂根据用户需要,也可能配置其他品牌执行机构),组合成一个较为知名切断阀。
2、紧急切断阀上有很多附件,如电磁阀、气控阀、快排阀、气动放大器、锁止阀等等,其厂家五花八门,
根据业主要求,阀门厂家外购配置,任何一个元件故障,均能导致紧急切断功能失效
(切断阀的认证对整个阀无意义)
。
3、一般阀门认证非整体认证,因为执行机构和电子附件是根据业主要求配置的,切断阀厂家不可能把每
一种的组合都拿去SIL认证。
4、紧急切断阀认证时,因为只有阀体,其结构简单,失效概率很低,故SIL等级较高,但是当使用时,由
于介质不同,
同一阀门用于不同的工况,失效概率千差万别,认证的数据毫无意义
。
S-Zorb阀门,紧急切断1oo3,
隔离427℃的氢气和氧气,是非常关键的阀门,基本是半年维修一次。
对于常周期运行的装置联锁紧急切断阀,弹簧3-4年长期处于压缩状态,很容易造成弹簧乏力,在
需要紧急切断时,弹簧作用力减弱,无法推动执行机构完全关闭阀门,故,装置在大检修期间对紧急切断阀的检测是是非关键的,弹簧作用力是紧急切断阀检修的一个非常关键的指标。
以下配置符合SIL2配置(仅仅是配置,能达到SIL2还要看验算结果)
冗余逻辑的表决方法及其与安全性、可用性的关系
但凡事故的发生,都是所有保护增的穿透!
化工装置可接受风险
SIL定级风险可接受值标准
独立保护层,是能防止工艺系统隐患发生的装置、系统或行动。
任何事故的发生,都是所有保护层的穿透,那么在判断独立保护层时,要分析能阻碍后果发生的所有独立保护层,
独立保护层必须经得起审查。且能独立阻碍事故的发生
。
触发事件的频率及发生事故的使能条件也是非常重要的保护层,这是SIF回路定级首先要判断的,也是非常关键的。
如果某个事故发生后后给非常严重,那么他的风险可接受值就会非常大,响应的独立保护层也要非常多,但是能导致此事故发生的初始事件极低,几乎不可能发生,那么这个联锁回路的SIL等级也会相应的很低,甚至可以不设联锁。
相当于汽车的
刹车
,只有在人员有效响应的条件下,才能避免事故的发生。
报警+有效的人工响应
可作为独立保护层;
相当于汽车的主动刹车/主动安全系统,遇到紧急情况自动启动,可作为
独立保护层;
能否作为 独立保护层?
独立
保护层是独立
阻碍
事故发生的装置、系统或行动。可燃有毒气体报
警器发出报警时,泄漏事故已经发生,所以不能作为独立保护层,只能减缓事故后果进一步扩大;相同,围堰也是阻碍事故进一步扩大,不能作为独立保护层。
可燃有毒气体报警器和围堰是保护层,但是不是主动保护层,在HAZOP
中可以作为保护层,但是在LOPa分析中不能作为独立保护层使用(极个别也可,但是要有充分的理由)
。
相当于
安全气囊
,这种保护层起作用时,事故已经发生,只能阻碍事故进
一步扩大,而不是避免事故的主动措施,是被动的保护层。
1、联锁系统测试
包含SIS系统点检、测量仪表校验、切断阀功能检测(包含切断阀附件及气缸活塞及阀体磨损情况检查)
目前没有文件要求多久执行一次,一般情况下都是按检修周期,周期不超过4年。
2、联锁功能测试
包含联锁回路联校、逻辑逻辑功能测试(包含旁路功能、SOE功能)、冗余性测试等
每次开车前必须测试,且应有多方签字验收。
没有明确文件要求多久必须开展一次,但是时间不能超过SIL验算回路中Ti周期。
AQ 3059-2023 《化工企业液化烃储罐区安全管理规范》10.4.5罐区紧急切点发应每季度测试一次,特殊
情况可适当延长,但不应超过半年。
《石油化工安全仪表系统设计规范》GB 50770第3.4.3条
运行维护人员应定期培训,培训内容宜包括安全仪表系统的功能、可预防的过程危险、测量仪表和最终元件、安全仪
表系统的逻辑动作、安全仪表系统及过程变量的报警,安全仪表系统动作后的处理等。
GBT21109.1-2022《过程工业领域安全仪表系统的功能安全》 第5.2.2.3条要求 。
应制定规程以管理所有参与 SIS生命周期的人员的能力。应定期进行评估,以记录人员能力与其执行的活动是否匹配,
以及人员在某一角色内的表现情况。
《化工过程安全管理导则》(AQ/T 3034-2022 )第4.11.1 d 安全仪表管理
GB/T41295.4—2022《功能安全应用指南》第4部分:管理和维护
7.1执行功能安全系统运行维护的人员,在上岗前需经过独立的第三方功能安全培训,培训内容宜涵盖GB/T 20438
