国产av剧情md精品麻豆,波多野结衣中文字幕久久,国产一区二区三区三级无码,日本一区二区在线播放

影響SIL驗證的主要因素有哪些?

文章轉載自《石油化工自動化》雜志2021年第5期

全文約6400字,閱讀時間約20分鐘

作者:邢勐1,皮宇2,裴炳安2

(1. 中國石油化工股份有限公司;2. 中石化廣州工程有限公司)


"

按照原國家安全生產監(jiān)督管理總局文件《國家安全監(jiān)管總局關于加強化工安全儀表系統(tǒng)管理的指導意見》(安監(jiān)總管三[2014]116號)的規(guī)定,在建項目,在役生產裝置自2020年起均需開展安全完整性等級(SIL)的驗證工作,筆者在實施國外項目及國內項目的SIL驗證工作中發(fā)現,很多驗證問題均與GB/T 21109.1—2007《過程工業(yè)領域安全儀表系統(tǒng)的功能安全第1部分:框架、定義、系統(tǒng)、硬件和軟件要求》定義的安全生命周期活動緊密關聯(lián),本文詳細闡述了SIL驗證工作中遇到的各種問題及影響因素,希望對安全儀表系統(tǒng)(SIS)的設計、采購及施工、維護維修管理提供參考,本文出現大量專用術語及縮略語,限于篇幅不逐一詳解,請參閱文獻[2]和GB/T 20438—2017《電氣/電子/可編程電子安全相關系統(tǒng)的功能要點》,IEC 61508及IEC 61511標準。


1、SIL驗證

當一個安全儀表功能(SIF)的SIL定級大于或等于1時,需要對該SIF進行SIL的驗證,要通過SIL驗證,必需滿足架構約束、SIF回路要求的平均失效概率(PFDavg)算滿足SIL報告要求、系統(tǒng)能力達到SIL要求,此外,SIL驗證還需檢查滿足誤停車率、滿足檢驗測試周期等要求,這些因素與安全生命周期的各項活動都有緊密關聯(lián)。


2、影響SIL驗證的主要因素
   

 2.1 SIL驗證需要的輸入數據及信息

SIL驗證需要的輸入數據及信息至少應包含以下內容:SIL定級報告,需包含SIF回路的位號、功能描述,SIL等級及要求的PFDavg;SIF回路的結構及各個部件的表決架構;SIF回路各個部件選用廠家的具體型號及廠家針對型號提供的SIL證書及安全手冊;以及測試檢驗周期;儀表故障模式設計;儀表測量值在線比對診斷;操作模式要求;平均修復時間(MTTR );產品使用壽命或完美使用時間;瞬變信號過濾;測試覆蓋率及診斷覆蓋率(Dc);誤停車率;事故安全型設計原則;共因失效因子。


2.1.1 SIL定級報告對SIL驗證的影響

SIF回路涉及的儀表數量及結構如果在SIL報告中描述不清晰,驗證工作很難準確開展。例如:燃料氣壓力低低緊急停爐切斷燃料氣閥門XXX-A,XXX-B,打開放空閥XXX-C,該描述僅重復了邏輯圖中的邏輯關系,但是對于是否所有的閥門的動作都屬于該SIF回路功能卻并沒有清晰界定。如果不了解工藝,將放空閥加入驗算,將導致執(zhí)行元件的架構變化。事實上,放空閥是否打開,對SIL定級時定義的特定的SIF危險場景沒有影響,放空閥的動作不能阻止SIL定級時所分析的爐膛熄火燃料氣繼續(xù)進入爐膛的危險場景,而是作為切斷閥關閉后,防止閥門內泄漏產生的燃料氣進入爐膛的另一個特定的危險場景,該閥不能算作該特定SIF最終執(zhí)行元件表決架構中的一個組成部分,不能參加驗算,否則將導致執(zhí)行元件的PFDavg值偏高,驗證不容易通過,所以SIL分析報告中,一定要清晰辨識參與該特定SIF功能的各個部件。


在實際驗證中也發(fā)現,有的SIF如果不通過現有手段找到更多的獨立保護層(IPL)來降低風險至足夠低的程度,則最終導致SIL等級或要求的風險降低因子(RRF )設定的偏高,例如SIL3的等級,當需要滿足PFDavg的約束條件時:PFD檢測部件、PFD邏輯控制器PFD執(zhí)行元件、PFD供電電源之和不大于SIL報告要求的該SIF的PFDavg當前儀表設備的SIL證書很少單臺使用能達到SIL3,大多數是SIL2或通過冗余架構達到SIL3,對于PFDavg而言,特定SIL等級是一個相差10倍的范圍,關鍵是看SIL報告要求的PFDavg在該范圍的哪個區(qū)間,所有具有SIL3能力的子部件PFDavgg的和仍然可能大于SIL報告中要求的SIL3的PFDavg,SIL2的情況也類似。所以當發(fā)現定義為SIL3或要求高RRF 的SIL2的SIF,一定要結合歷史及類似場景復核該風險等級、IPL和要求的PFDavg,尤其注意排除連帶其他風險導致的各類經濟損失擴大化,如有必要,引入合理的點火概率及人員暴露因子進行修正。很多場景僅僅通過儀表的手段來降低風險使剩余風險滿足要求是非常困難的,經驗發(fā)現,當要求的RRF >200時,單閥普遍很難通過驗證,即使通過,儀表的采購價格也沒有經濟性,所以工藝的本質安全設計及通過更多且合理的IPL降低SIL的定級或要求的RRF 是通過SIL驗證最優(yōu)的選擇。


2.1.2 SIF回路儀表結構及表決架構對SIL驗證的影響

SIL驗證中需滿足SIF回路中所有環(huán)節(jié)的PFDavg之和小于定級時要求的PFDavg,但是驗證輸入資料中回路結構的信息往往提供不全,例如檢測元件回路是否包含安全柵、隔離器、防雷柵等,如果為開關元件,回路是否有串聯(lián)、并聯(lián)等特殊接線結構等;執(zhí)行元件回路的結構是否包含安全柵、繼電器、防雷柵,是否有特殊接線結構等,如果驗算遺漏了某個環(huán)節(jié),整個回路的失效率計算將偏小,誤認為安全達到了要求。
實際工作中發(fā)現,驗算不能通過,往往是由于某個容易被忽視的輔助設備的可靠性不高,產生了瓶頸效應引起的,此時可通過簡化不必要的回路結構來提高回路整體可靠性,例如電磁閥或測量元件通過修改為隔爆類型減少安全柵環(huán)節(jié),超速保護模塊直接連接到現場停車速關閥,不通過機組保護系統(tǒng)去停車等。

在滿足架構約束的前提下,設計的表決架構如果不能通過驗證,需根據結果調整架構,設計架構并非硬件故障裕度(HFT )越大越好,HFT 越大,驗證越容易通過,但誤停車率增加,要綜合兼顧誤停車率增加對經濟效益的影響,合理設計表決架構,例如同為HFT =1的架構,“2oo3”比“1oo2”的誤停車率低。


2.1.3 儀表采購型號及證書對SIL驗證的影響

SIL驗證需要真實選型儀表的PFDavg數據,此時需要儀表廠家提供相關的SIL證書,如果沒有證書,一般都選用驗證軟件庫中的通用數據來計算,通過的概率將大打折扣。
根據IEC61508,SIL驗證通過必需達到的架構約束見表1所列。
表1 IEC61508中SIL驗證需要達到的架構約束條件
微信圖片_20220822220229.jpg
注:1) SFF為安全失效加可診斷失效占全部失效的比率,值越大說明設備越可靠。
A類元件的典型儀表類型為繼電器、閥門、開關類元件,B類元件的典型儀表類型為PLC、閥門定位器、智能變送器、內置集成電路的元件。當采購的儀表廠家不能提供很好的失效數據或SIL證書時,且不能按照IEC 61508的先驗使用或IEC 61511規(guī)定的早先使用通過Route2H來證明其可靠性時,該儀表的可靠性按照安全失效分數SFF <60%處理比較合理。如果檢測元件及執(zhí)行元件設計架構都沒有考慮容錯時,即HFT =0時,檢測元件為電子元件類變送器時,對于SIL 1回路,是不能通過架構約束的。此時設計時,必需考慮設計檢測元件為表決架構“1oo2”,“2oo3”,或“1oo3”才達到架構約束。對于SIL2回路,單純架構約束就需要檢測元件必需至少為“1oo3”或“2oo4”表決的架構,閥門也必需至少2臺。
從以上分析可以看出,儀表廠家的質量證明及SIL證書可以直接影響架構設計,例如某浮筒變送器廠家的SIL證書信息為“Random Capability:Type B,SIL 2@HFT =0,Route 1H Device?!?/span>
證書表明,該變送器單臺SIL等級可以達到SIL2,架構約束單臺可以用于SIL1以及SIL2場合。
某閘閥廠家的證書部分內容:“Safety Integrity Level:SIL 2 @HFT =0;SIL 3 @HFT =1 for Safety Functions; Open on demand or Close on demand”,證書表明,該閥單臺SIL等級也能夠達到SIL2,如果設計為“1oo2”使用時可以達到SIL3。
上述并非說明達到SIL2等級的該儀表回路肯定能通過驗證,除架構外,其他約束條件例如整體回路的PFDavg驗算以及系統(tǒng)能力的約束仍然要滿足。
對于系統(tǒng)能力,GB/T 20438.5—2017及IEC 61508-2,3針對其術語有詳細解釋,主要是用于避免系統(tǒng)失效。典型的某電磁閥的SIL證書上標明“Systematic Capability:SC3(SIL 3 Capable)”,表明該設備按照安全手冊規(guī)定應用時,可最大程度避免除隨機失效以外的系統(tǒng)失效,滿足SIL3要求,系統(tǒng)能力體現在軟件、設計、安裝、使用、維護等需遵循產品安全手冊,安全手冊隨證書一起提供。
由上可見,產品的SIL證書及配套安全手冊信息豐富,對于證明該設備滿足SIL驗證的3個條件非常重要。
但是實際驗證過程中卻發(fā)現,有些特殊產品,廠家沒有SIL證書,例如蒸汽透平機的速關閥,催化及MTO裝置的滑閥及主風阻尼單項閥等,由于歷史的原因,特閥或機械保護裝置在特定的場合使用非常成熟,此時驗證時,因為這些SIF回路往往比較重要,SIL定級比較苛刻,如果采用數據庫中通用的電液執(zhí)行機構或類似執(zhí)行機構驗算PFDavg時,往往因為取值不好通不過驗算,但是該類執(zhí)行元件價格很高,冗余配置也不合理。此時,可以根據IEC61508關于“Proven in use,使用證明”及IEC61511關于“prior use,先驗使用”的相關規(guī)定,針對該設備進行文件化評估,即根據設備以往的使用情況,提供該同型號設備成熟用于類似場合的證據,例如提供該型號的滑閥已經用過多少實例,至少多少小時安全運行,對于幾套類似裝置使用,多少個用戶。通過該方式,該設備可以取到滿意的PFDavg的參數使PFDavg驗算通過,計算示例如下:
假設某廠某型號設備某裝置已使用200臺,5 a內僅2臺發(fā)生故障,則危險失效率λD依據小時為單位可計算為: λD=2/(200×5×8 760)=2.28×10-7。

類似無證書設備可參考該計算方法取值。


2.1.4 其他因素對SIL驗證的影響

根據ISA-TR84.00.02:2002規(guī)定,PFDavg的計算是一個非常復雜的函數,與測試間隔時間、維修周期、共因失效等諸多因素有關,限于篇幅,僅摘選部分主要因素分析如下:
1) 測試檢驗周期。工藝設計之初已結合業(yè)主的要求確定停工大修周期,全廠停工時,檢維修人員手動測試各個安全儀表的功能并進行維護。SIL驗算時,該周期按照大修周期例如48個月來驗算,驗算不過的大部分原因,是因為閥門失效率過高,當可以附加部分行程測試裝置(PST)時,可按照驗算建議的周期測試而不影響工藝。國外也有設計帶切斷閥的旁路備用聯(lián)鎖閥的方式,測試時,打開旁路切斷閥,投用備用閥門,關閉測試閥門前后切斷閥進行測試。通過各種技術手段,測試間隔時間可按要求降低,當只采用1臺閥門執(zhí)行SIF功能時,該閥的PFDavg當僅考慮隨機失效時,可簡化計算如式(1)所示:
PFDavg=λDU Ti/2          (1)
式中: λDU——未檢測到的危險失效,產品證書上的值,對應證書上固定的檢測周期,一般為1 a;Ti——測試檢驗間隔時間,當閥門配PST時,原大修周期4 a可根據計算縮短,當取6個月時,閥門的PFDavg可降低為原來4 a的8倍,很多情況驗證就通過了,該指標對驗證影響很大。

2) 儀表故障模式設計。當儀表故障模式符合MAMUR NE 43標準時,智能儀表檢測到儀表故障時根據預先設定的故障模式,決定儀表信號的走向及旁路開關的設計方式是觸發(fā)聯(lián)鎖還是避免聯(lián)鎖,架構是否降級等,控制系統(tǒng)組態(tài)以及現場儀表的配置都需要相互匹配,當按照觸發(fā)聯(lián)鎖實施時,容易通過驗證,但是誤停車率增加。

3) 儀表測量值在線比對診斷。是指安全儀表獨立配置后,仍然需要在同樣的工藝場合設計一塊進DCS的儀表與安全儀表測量值實時比對,針對測量值的偏差進行診斷報警,如果安全儀表容錯設計,同時也相互比對,及時發(fā)現每塊安全儀表的失效,除儀表自身診斷以外的基于偏差的診斷設計理念,將利于驗證通過。
4) 操作模式要求。按照GB/T 20438.4—2017中第3.5.16條要求,一般石油化工都取低要求模式,1 a最多聯(lián)鎖動作一次,對應國標,SIL等級的PFDavg取值才有依據。
5) MTTR 。該術語的含義是設備發(fā)生故障到重新恢復正常工作的時間期望值,其值需依據業(yè)主維護維修力量,采購備品、備件情況,廠家售后服務地點及服務合同,交通狀況等綜合決定,一般國內現場儀表按照良好條件可定義為24 h,即該設備如果發(fā)生故障,24 h后可重新投用如初,對于邏輯控制器,大多數故障為軟件故障,修復可采用重新啟動或使用通信手段與廠家咨詢解決,一般可取4 h。MTTR 值對驗證有一定影響,時間越短,設備可靠性保障越好,驗證越容易通過。
6) 產品使用壽命或完美使用時間?!巴昝馈笔侵甘褂玫漠a品性能與新產品基本無差異,產品使用壽命在儀表的安全手冊中有闡述,例如某閥位開關證書中標明,“Lifetime expectancy is estimated 45 years as long as regular maintenance is carried out as recommended by the manufacturer in the safety manual.”根據該產品的可靠性,在安全手冊指導使用方法及定期維護前提下,推薦使用于安全場合45 a,當然也要綜合考慮備件供應時間及廠家技術支持服務,一般取最小值。該值越大表明產品質量越好,越容易通過驗證。
7) 瞬變信號過濾。指控制系統(tǒng)對輸入瞬變信號是否過濾不響應,例如對于壓力高高聯(lián)鎖,瞬間超壓是否立即動作或延時動作,需業(yè)主、設計、廠家三方共同商議,結合儀表響應時間、歷史事件及誤停車率綜合分析決定,過于敏感對驗證容易但是誤停車率將增加。
8) 測試覆蓋率及診斷覆蓋率。根據GB/T 20438.4—2017規(guī)定,測試覆蓋率指通過可靠性測試的手段能檢測出的危險失效占總失效數量的比例,該值越高,表明業(yè)主的維護維修能力越高;該值越低,設備的不間斷使用周期要求越高。該測試也分在線與離線,在線測試與旁路的設計、容錯的架構等有關,很多廠家的安全手冊包含常見失效的測試方法,該測試為人工測試與自動診斷測試不同,自動診斷不能檢測的失效要通過人工檢測方法實現,該值越高,驗證越容易通過。
當元件為智能儀表時,可通過自動自診斷的方式來檢測危險失效占總失效比例,稱為診斷覆蓋率DcDc不包含通過人工手段檢測到的任何故障。
Dc與設備失效率之間的關系如式(2)所示:
SFF =(λs+λD·Dc)/(λs+λD)      (2)
式中: λs——安全失效率;λD——危險失效率。
Dc越高,SFF 值越大,設備越可靠,PFDavg值就越小,通過PFDavg驗證的概率就越大。Dc適用于邏輯控制器以及智能變送器,對于SIL3的邏輯控制器,根據IEC61508-2,可取99%或更好,對于智能變送器本身就具有很強的自診斷功能,絕大多數的危險失效可以通過儀表本身的自診斷得到,依據IEC61508及IEC61511標準,當檢測元件的診斷由DCS實現時,最高也不能達到90%,因為DCS本身也會失效,最大的風險降低因子就是10。另外該診斷與上述儀表故障模式設計及故障發(fā)生后旁路設計有很大關系,該關系較為復雜,限于篇幅,這里不加以贅述。根據IEC61508-2規(guī)定,當設備為typeB類電子元件時,當證書使用Route 2H方式認證時,Dc不得低于60%,說明有證書的儀表可靠性及智能化程度高,驗證更容易通過。
對于執(zhí)行元件不是智能儀表,無法實施在線診斷測試時,一般閥門的SIL證書都會寫明失效率的對應條件是Dc=0,并給出可靠性測試間隔要求,大多為1 a,驗算不通過時,如果因為各種原因不容易改變架構時,此時最合理的選擇就是加PST將測試間隔降低。加PST后,可檢測出大部分危險失效,甚至配合先進的診斷軟件也可以實現在線診斷,但也不能達到100%的故障全部診斷出來,鑒于閥門的故障復雜性及業(yè)主的維護隊伍的技術實力,加PST后的測試覆蓋率常選擇75%~80%,加PST更利于通過SIL驗證。
9) 誤停車率。該數據需要業(yè)主結合經濟效益來給定,有時候SIL驗證計算可以通過,但是如果誤停車率高于業(yè)主的要求,經濟效益將大幅降低,此時需要采取各種手段,例如調整測量元件“1oo2”架構為“2oo3”架構,同時滿足可靠性及可用性要求,該數據對驗證、采購、設計都有一定的影響。
10) 事故安全型設計原則。如果設計按照事故安全性原則設計,驗證計算時,將不考慮電源故障的失效率,對于驗證通過很有幫助。
11) 共因失效因子。共因失效定義詳見GB/T20438.4—2017中3.6.10條規(guī)定:對于有表決架構設計的儀表,應合理設計降低共因失效來提高SIL驗證通過的可能性,例如:表決的儀表設計為不同測量或執(zhí)行動作原理的儀表,即便是原理相同,要選擇不同的廠家產品等。按照《中國石化安全儀表系統(tǒng)安全完整性等級評估管理辦法(試行)的通知》(中國石化安[2018]150號)要求,PFDavg計算應當考慮共因失效,共因失效因子β選取可采用文獻[3]規(guī)定的方法、經過認證的數據、利用專家經驗確定。
典型儀表的設備β參考值見表2所列。
表2 典性儀表設備β參考值
微信圖片_20220822220220.jpg

表決架構選用的儀表的β值越大,越不利于SIL驗證通過,β值與接線獨立性設計及施工也有關系,表決架構的安全儀表電纜的敷設路徑分開,接線箱的獨立接線,進入SIS的控制器及卡件的獨立設計,儀表電源的獨立設計,都對降低β值通過SIL驗證有一定的幫助。


3、結束語

當SIL驗證不能通過時,應根據驗算結果辨識主要影響因素并變更,如變更表決架構,提高產品檔次、增加PST等,根據變更,再次驗證,以證明當前SIF回路功能已經滿足SIL等級要求。
SIL驗證與安全生命周期中的各個環(huán)節(jié)密不可分,目前國內SIL驗證工作才剛剛起步,遇到很多問題,隨著解決方案日趨成熟,安全才真正得到保障。