深度 | Hazop分析SIL1级别,BPCS(DCS)和SIS是否可以共用?

作者简介:范咏峰,男,1993年毕业于上海同济大学电气工程系工业电气自动化专业,现工作于中科合成油工程股份有限公司,任副总工程师,高级工程师。

深度好文:5706 字 | 10分钟阅读

随着SIS系统的普及和应用,问题也越来越多——关于Hazop分析SIL1级别,BPCS和SIS是否可以共用?是近期讨论的热点,本文就BPCS和SIS基础概念和相关法律法规文件入手,通过举例形式,提供一些可行的配置方案,帮助现场仪表人员和设计人员,加深对BPCS和SIS系统的理解和应用。

基础概念

『BPCS』

基本过程控制系统 basic process control system:对来自过程的、系统相关设备的,其他可编程系统的和/或某个操作员的输入信号进行响应,并产生使过程和系统相关设备按要求方式运行的系统,但它并不执行任何具有被声明的SIL≥1的仪表安全功能。(摘选:GB/T 21109.1-2007  (IEC 61511-1:2003,IDT)过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬件和软件要求 3.3.2)

基本过程控制系统 basic process control system:响应过程测量以及其他相关设备、其他仪表、控制系统或操作员的输入信号.按过程控制规律、算法、方式,产生输出信号实现过程控制及其相关设备运行的系统。在石油化工工厂或装置中,基本过程控制系统通常采用分散控制系统(DCS)。基本过程控制系统不应执行SIL1、SIL2、SIL3的安全仪表功能。(摘选:GB/T 50770-2013  石油化工安全仪表系统设计规范    2.1.19 )

『SIS』

安全仪表系统 safety instrumented system:用来实现一个或几个仪表安全功能的仪表系统。SIS可以由传感器(Sensor)、逻辑解算器(Logic Solver)和最终元件(Final Element)的任何组合组成。

仪表安全功能 safety instrument function;SIF具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是一个仪表安全保护功能,也可以是一个仪表安全控制功能。

安全完整性等级 safety integrity level;SIL用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级(4个等级中的一个)。SIL4是安全完整性的最高等级,SIL1为最低等级。

(摘选:GB/T 21109.1-2007  (IEC 61511-1:2003,IDT)  过程工业领域安全仪表系统的功能安全 第1部分:框架、定义、系统、硬件和软件要求 3.2.72/3.2.71/3.2.74)

安全仪表系统 safety instrumented system:实现一个或多个安全仪表功能的仪表系统。(摘选:GB/T 50770-2013  石油化工安全仪表系统设计规范2.1.1 )

BPCS和SIS的区别

安全仪表系统(SIS)独立于过程控制系统BPCS(例如分散控制系统DCS等),生产正常时处于休眠或静止状态,一旦生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态,必须有很高的可靠性(即功能安全)和规范的维护管理,如果安全仪表系统失效,往往会导致严重的安全事故。(摘选:安监总管三(2014)116号,国家安全监管总局关于加强化工安全仪表系统管理的指导意见)

SIS独立于BPCS的含义:如果BPCS控制回路的正常操作满足以下要求,则可作为独立保护层, BPCS控制回路应与安全仪表系统(SIS)功能安全回路SIF在物理上分离,包括传感器、控制器和最终元件。(摘选:GB/T 32857-2016 保护层分析(LOPA)应用指南)

BPCS和SIS的区别:

目的功能不同:生产功能/安全功能;

运行状态不同:实时控制/超限时联锁;

可靠性要求不同:SIS要求更高的可靠性;

控制方法不同:连续控制为主/逻辑控制为主;

使用和维护方法不同:SIS更严格;

BPCS和SIS的联系

BPCS和SIS是否可以共用元件,可以从以下三个方面考虑和确定:

标准规范的要求和规定, 安全要求、IPL方法论、 SIL评估;

经济评价(前提是满足安全基本要求),比如,ALARP(as low as reasonably practicable)分析;

管理者或者工程人员根据经验和主观意志确定。

不论采用哪种方式,都以满足法规、标准要求为最低要求。

延伸阅读:

安监局40号令

涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,配备独立的安全仪表系统(SIS);

安监局40号令上述法规要求就是第三种方式的例子。

情况一:BPCS作为独立保护层或者初始事件

如果BPCS和SIS共用元件,BPCS为独立保护层,共用元件应该同时担负原来BPCS和SIS各自独立的保护层职责;BPCS为初始事件,共用元件应该担负BPCS和SIS各自独立的失效频率结合对应的风险降低。

共用元件危险失效率必须足够低,安全完整性的要求可能改变,比如从SIL1变成SIL2,并且符合安全全生命周期的所有要求。

独立保护层  Independent protection layer: 一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层的行动无关。独立性表示保护层的执行能力不受到初始事件或其他保护层失效的影响。独立保护层的有效性和独立性可以被审查。(摘选:《 GB∕T 32857-2016 保护层分析(LOPA)应用指南》)

必须满足安全全生命周期的要求,包括SIS指令优先、DCS指令不能干扰和降低SIS指令功能、相关仪表和系统失效率满足要求、要按照GB/T50770-2013、GB/T21109(IEC61511)的规定执行包括记录档案维护管理检维修周期、需要进行SIL演算确认满足相关SIL等级的要求、 各个保护层场景总频率的计算依然满足等......

情况二:BPCS不作为保护层和初始事件

如果BPCS和SIS共用元件,必须符合安全全生命周期的所有要求,必须充分考虑BPCS操作维护等对SIS的影响。

特别注意(适用于情况一和情况二):

BPCS和SIS共用元件会引起操作模式的改变,由低要求模式变为连续模式,相关元件的维护规程和策略均应相应改变。

必须符合安全全生命周期的所有要求,必须充分考虑BPCS操作维护等对SIS的影响。

BPCS和SIS共用元件会改变习惯的操作和维护模式。

实际工程上,强烈建议BPCS和SIS相互独立,包括传感器、控制器和最终元件。如果知道了BPCS和SIS共用元件需要满足的全部要求,通常也不会采用共用方案了!

相关标准和规定要求解读

1、GB/T 50770-2013 石油化工安全仪表系统设计规范

5.0.8  安全仪表系统应独立于基本过程控制系统,并应独立完成安全仪表功能。

5.0.9  安全仪表系统不应介入或取代基本过程控制系统的工作。

5.0.10  基本过程控制系统不应介入安全仪表系统的运行或逻辑运算。

条文说明,

2.1.19  基本过程控制系统 不应执行SIL1、SIL2、SIL3的安全仪表功能。

2、GB/T 21109.1-2007 过程工业领域安全仪表系统的功能安全 第1部分

3.2.3  基本过程控制系统不执行任何具有被声明的SIL≥1的仪表安全功能。

9.4.2  一个用作保护层的BPCS的风险降低因子(它并不符合GB/T 21109或者GB/T 20438-2006)应小于10。

注:当考虑一个BPCS降低风险的信任度有多大时,应考虑到这样一个事实,即BPCS的一部分也可以是一个事件的起源。

9.4.3  如果要求BPCS的风险降低因子大于10,则应按GB/T 21109中的要求进行设计。

SIL1没有特殊性,SIL1仍然需要满足GB/T 21109等标准要求。

SIL1仍然需要满足PFD、HFT、SC的要求。

SIL1相对于SIL2和SIL3,更容易实现。

不应将SIL1单独拿出来,而不强调前提条件。

SIL1同样需要满足安全生命周期的全部要求。

如果BPCS和SIS存在共用环节,shall be justified and documented。

11.2.2   在要求SIS同时实现仪表安全功能和非安全功能时,在正常和故障状况下,对任何SIF有负面影响的所有硬件和软件应被当成SIS的组成部分,并符合对最高SIL的要求。

注1:只要可行,就应把仪表安全功能同仪表非安全功能分开。

注2:充分的独立性意味着任何非安全功能的失效或者利用仪表非安全软件功能编程都不能引起仪表安全功能失效。

11.2.4   如果不打算让基本过程控制系统符合GB/T 21109,基本过程控制系统应设计成单独的和独立的,从而不危及安全仪表系统的功能完整性。

11.2.10   一个装置作为执行仪表安全功能的一部分时,不应该(同时)用于基本过程控制目的,因为这个装置失效导致的基本过程控制功能失效,会引起对仪表安全功能的要求。除非分析后可以确认整体风险是可接受的。

注:当SIS的一部分用于控制并且公用设备的一次危险失效可能引起对SIS所执行的功能提出一次要求时,则会引入新的风险。附加的风险与共享部件的危险失效率有关,这是因为当共享部件发生故障时,立即就会产生一个要求,而SIS对此要求无力作出响应。因此在这些情况下需要进行额外的分析以保证共享部件的危险失效率足够低。

3、 GB/T 21109.2-2007 过程工业领域安全仪表系统的功能安全   第2部分

11.2.4  GB/T 21109.1-2007的第11章有许多SIS的设计要求。其中一项是SIS和BPCS之间的独立性。

通常因以下原因,SIS是同BPCS分开的:

a) 为了降低BPCS对SIS的影响,特别是当它们共享共用设备时。例如,当BPCS和SIS共享一个用于停机和控制的共用阀门时,在该阀门的一次危险失效事件中,它并不能用来执行一个SIS停机功能。

b) 为了保持与BPCS有关的更改、维护、测试和文档的灵活性。

c) 为了有助于SIS的确认和功能安全评估。

d) 如果BPCS与SIS组合在一起,为满足修改管理的计划安排,需要限制对BPCS的编程和配置功能的访问。

4、GB∕T 32857-2016 保护层分析(LOPA)应用指南

独立保护层  Independent protection layer:一种设备、系统或行动,有效地防止场景向不期望的后果发展,它与场景的初始事件或其他保护层的行动无关。独立性表示保护层的执行能力不受到初始事件或其他保护层失效的影响。独立保护层的有效性和独立性可以被审查。

如果BPCS控制回路的正常操作满足以下要求,则可作为独立保护层:

a) BPCS控制回路应与安全仪表系统(SIS)功能安全回路SIF在物理上分离,包括传感器、控制器和最终元件。

5、安监总管三(2014)116号/国家安全监管总局关于加强化工安全仪表系统管理的指导意见

(一)安全仪表系统(SIS)独立于过程控制系统BPCS(例如分散控制系统DCS等)。

(十三)从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统

(十四)涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位,要在全面开展过程危险分析(如危险与可操作性分析)基础上,通过风险分析确定安全仪表功能及其风险降低要求,并尽快评估现有安全仪表功能是否满足风险降低要求。

6、安监总管三〔2013〕88号/国家安全监管总局关于加强化工过程安全管理的指导意见

开展安全仪表系统安全完整性等级评估。企业要在风险分析的基础上,确定安全仪表功能(SIF)及其相应的功能安全要求或安全完整性等级(SIL)。企业要按照《过程工业领域安全仪表系统的功能安全》(GB/T21109)和GB/T 50770《石油化工安全仪表系统设计规范》的要求,设计、安装、管理和维护安全仪表系统。

7、安监总局第40号令/危险化学品重大危险源监督管理暂行规定

涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,配备独立的安全仪表系统(SIS)。

8、安监总管三〔2013〕76号/关于进一步加强危险化学品建设项目安全设计管理的通知

(十九)新建化工装置必须设计装备自动化控制系统。应根据工艺过程危险和风险分析结果,确定是否需要装备安全仪表系统。涉及重点监管危险化工工艺的大、中型新建项目要按照《过程工业领域安全仪表系统的功能安全》(GB/T21109)和《石油化工安全仪表系统设计规范》(GB50770)等相关标准开展安全仪表系统设计。

以上要求写入了《危险化学品企业安全风险隐患排查治理导则》、《危险化学品企业安全风险隐患排查治理导则》、《全国安全生产专项整治三年行动计划》、《危险化学品安全专项整治三年行动实施方案》。

9、中国石化安[2018]192号/关于印发《中国石化危险化学品及危险化工工艺安全管理规定》的通知

3.1 企业应当基于危险与风险分析,合理确定建设项目和在役装置安全仪表功能(SIF)以及所应具有的SIL。

3.2 企业应当对建设项目和在役装置中的每个SIF进行验证,确定所有SIF满足了所需要的SIL。

4.1.6 SIL分级应当辨识所有SIF并确定相应的目标SIL。

5.1.1 SIL验证应当符合GB/T 20438和GB/T 21109标准的要求。

7.1  SIL评估开展情况应当纳入各单位HSSE绩效考核。

10、安监总厅管三函〔2018〕27号/国家安全监管总局办公厅关于督促整改安全隐患问题的函

(一)江苏天嘉宜化工有限公司(13项)

5. 部分二硝化釜的DCS和SIS压力变送器共用一个压力取压点。

11、 GB/T 50770-2013 石油化工安全仪表系统设计规范

6.1.6 测量仪表及取源点宜独立设置。

BPCS和SIS配置方案

1、BPCS和SIS独立 

BPCS控制回路与安全仪表系统(SIS)功能安全回路SIF在物理上分离,包括取源管嘴、测量引线、传感器、控制器和最终元件;此方案为建议方案。      

2、BPCS和SIS共享传感器

共用传感器经一入二出信号分配器,分别接入SIS和BPCS系统。一入二出信号分配器安装于SIS机柜,由SIS系统供电。去BPCS的信号不论正常与否均不能干扰SIS信号。

3、BPCS和SIS共享电磁阀

3.1 BPCS和SIS共享1个电磁阀

7.4.1 调节阀带电磁阀配置示例见图2。

图中SOV为电磁阀。电磁阀励磁, A→B 通,阀开;电磁阀非励磁, B→C 通,阀关。

摘选:GB/T 50770-2013 石油化工安全仪表系统设计规范,条文说明

摘选:HG/T 20638-2017 化工装置自控工程设计文件深度规范

3.2  BPCS和SIS共享2个电磁阀

7.4.5 (1)当系统要求高安全性时,调节阀、配电阀带冗余电磁配置可选用图4 、图5 所示配置方式。

图中,当电磁阀1 励磁, A-B 通;电磁阀2 励磁, A→B 通,则控制阀开。当电磁阀1 励磁, A→ B 通;电磁阀2 非励磁, B→ C通,则控制阀关。当电磁阀l 非励磁, B→ C 通;电磁阀2 励磁,A→B 通,则控制阀关。当电磁阀1 非励磁, B→C 通;电磁阀2 非励磁, B-C 通,则控制阀关。

摘选:GB/T 50770-2013 石油化工安全仪表系统设计规范,条文说明,借用GB/T 50770-2013附图示意,和GB/T 50770描述情况不同。

4、 BPCS和SIS共享最终元件

方案一

方案二

方案三

三个方案的比较

5、BPCS和SIS共享取源管嘴

通常情况下BPCS和SIS应采用独立取源。特殊场合,比如高压设备,可以具体分析,比如一定前提下经分析评估后可采用连通管方案。

如果采用连通管,shall be justified and documented。

总而言之,建议BPCS和SIS相互独立,包括取源管嘴、传感器、控制器和最终元件。特殊场合具体情况具体分析,在役和新建,工况,……

BPCS和SIS共用元件必须满足以下要求:

必须符合安全全生命周期的所有要求,必须有完善的确认、验证和记录。

BPCS和SIS共用元件会引起操作模式的改变,由低要求模式变为连续模式,相关元件的维护规程和策略均应相应改变。安全完整性的要求也可能改变,比如从SIL1变成SIL2。

BPCS和SIS共用元件会改变习惯的操作和维护模式,必须充分考虑BPCS操作维护等对SIS的影响。

如果知道了BPCS和SIS共用元件需要满足的全部要求,通常也不会愿意采用共用方案了!

(0)

相关推荐