摘要:自动化控制系统在化工安全生产中起着重要作用。介绍了化工安全仪表系统(SIS)与维持生产正常运行的基本过程控制系统(BPCS,即通常称谓DCS、PLC)的各自作用,以及两者各自组成仪表元件相应的关系。
关键词:化工装置;电器仪表;安全仪表系统(SIS);基本过程控制系统(BPCS);保护层分析法
化工安全仪表系统(SIS)包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。安全仪表系统独立于过程控制系统(例如分散控制系统等),生产作业过程中正常时处于休眠或静止状态,一旦生产装置或设施出现可能导致安全生产事故的情况时,能够瞬间选择准确的动作,使生产装置安全停止运行或自动导入预定的安全状态,必须有很高的可靠性(即功能安全)和规范的维护管理,才能保证该生产系统的正常运行。如果安全仪表系统失效,往往会导致严重的生产安全事故,近年来发达国家发生的重大化工(危险化学品)事故大都与安全仪表失效或设置不当有关。根据安全仪表功能失效产生的后果及风险,将安全仪表功能划分为不同的安全完整性等级(SIL1~SIL4,最高为4级)[1],但石油化工工厂或装置的安全完整性等级不应高于SIL3级[2]。如果在确定安全完整性等级时,有可能达到SIL4,应重新分配保护层的安全功能,或采用多个独立的安全仪表功能,使安全完整性等级不高于SIL3。在核工业、地铁、铁路行业有安全完整性等级SIL4,本文着重介绍石化行业的安全完整性等级,因此,不再讨论安全完整性等级SIL4。
1背景介绍
《危险化学品重大危险源监督管理暂行规定》(国家安全生产监督管理总局令第40号)中规定,对重大危险源中的毒性气体、剧毒液体和易燃气体等重点设施,设置紧急切断装置;毒性气体的设施,设置泄漏物紧急处置装置。涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源,配备独立的安全仪表系统(SIS)[3]。《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》(安监总管三〔2014〕116号)规定,从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。SIS系统已经从监管部门被强制要求设立。SIS与BPCS(基本过程控制系统)是什么关系?哪些调节点、联锁必须进入SIS?哪些调节点、联锁只需要BPCS完成?SIL等级与调节点或联锁进入SIS,有什么关系?如何在设计、安全评价、安全检查时,直观地理解SIS系统的独立设置?等等。“安全仪表系统”相关的标准最常见的是国际电工委员会的IEC61508、IEC61511。对应我国的标准《电气/电子/可编程电子安全相关系统的功能安全第6部分:GB/T20438.2和GB/T20438.3的应用指南》(GB/T20438.6—2017)[4]、《过程工业领域安全仪表系统的功能安全第3部分:确定要求的安全完整性等级的指南》(GB/T21109.3—2007)[5]。为了便于复杂问题简单化,笔者结合“标准”及各种文献,消化其内容,对于上述问题提出了想法,可供交流、讨论。若笔者理解不足,本文与“标准”有异之处,应以“标准”为准。
2SIS与BPCS的区别
2.1SIS与BPCS的定义
SIS(安全仪表系统)用于实现一个或多个安全仪表功能的仪表系统。SIS可以由传感器、逻辑运算器和最终元件的任何组合组成。SIS系统可自动地使工厂安全停车。BPCS(基本过程控制系统,例如DCS、PLC)是以正常运行监控为目的。对来自过程的、系统相关设备的、其他可编程系统的和/或某个操作员的输入信号进行响应,并产生使过程和系统相关设备按要求方式运行的系统,但它不执行任何具有被声明的SIL大于等于1的仪表安全功能。通俗地说,BPCS用于生产过程的连续测量、常规控制(如连续、顺序、间歇控制等)操作管理,保证生产装置的平稳运行。
2.2SIS与BPCS的关系
化工装置的SIS系统只有当BPCS常规控制和手动干预无效时,才会动作,是最后安全的把关,在绝大多数工业过程运行时,SIS只是处于休眠、待机备用状态。BPCS是执行正常生产的控制系统,是主动的、动态的。SIS是监视生产过程的状态,是被动的、待机的。BPCS也有联锁停车功能。调节回路、联锁既可在BPCS运行,也可在SIS运行。经SIL评估为非1、2、3级的调节回路、联锁,可不在SIS运行,而由BPCS操作运行。
3SIS系统等级确定
SIS系统中的SIL等级确定根据《保护层分析LOPA方法应用导则》(AQ/T3054—2015)确定。一个典型的化工过程包含各种保护层,如本质安全设计、基本过程控制系统(BPCS)、报警与人员干预、安全仪表功能(SIF)、物理保护(安全阀等)、释放后保护设施、工厂应急响应和社区应急响应等。这些保护层可降低事故发生的频率。在开展化工过程工艺危害分析时,保护层是否足够,能否有效防止事故的发生是分析人员最为关注的一个问题。保护层分析法(LayerofProtectionAnalysis,简称LOPA)是在定性危害分析的基础上,进一步评估保护层的有效性,并进行风险决策的系统方法,其主要目的是确定是否有足够的保护层使过程风险满足企业的风险可接受标准。LOPA是一种半定量的风险评估技术,通常使用初始事件频率、后果严重程度和独立保护层(IPL)失效频率的数量级大小来模拟表征场景的风险。通常用于确定SIF的PFD值,也就确定了需要增加什么SIL等级的安全仪表系统,俗称SIL定级。在SIL定级方面,IEC61508(GB/T20438[6])给出了3种方法,IEC61511(GB/T21109.1—2007[7])给出了5种方法。(1)GB/T20438中SIL定级方法定量法、风险图、危险事件严重程度矩阵。(2)GB/T21109中SIL定级方法半定量法、安全层矩阵法、校正的风险图、风险图、LOPA。风险图和LOPA是最常用的,风险图是一种定性分析技术,LOPA是一种半定量的风险评估技术。一般情况下,石油化工厂或装置的SIL等级分SIL1~SIL3这3种安全完整性等级,安全完整性等级越高,安全相关系统不能实现所要求的安全功能的概率就越低。确定安全完整性等级要基于危险与风险分析,不恰当的风险分析技术会导致安全相关系统的安全完整性等级过高或过低。安全完整性等级过高会造成过高且不必要的安全成本,安全完整性等级过低又会导致安全相关系统不能满足安全要求。
4SIS与BPCS回路系统各自仪表元件的关系
SIS与BPCS都是由各种仪表元件组成。SIS与BPCS回路系统各自的仪表元件相互间是什么关系?能否共用?那些必须分开?SIS(安全仪表系统)与BPCS(基本过程控制系统)关系及其对仪表元件的要求,见表1。
5总结
从表1可看出,在SIL1级时,SIS与BPCS的测量仪表(传感器)、最终执行元件(切断阀等)存在条件共用。安全评价现场检查时,在中央控制室看到DCS的操作站,而没有看到SIS操作站,以为SIS没有独立设置。这是不全面的。要根据不同的SIL等级,设置SIS的各种仪表元件的要求。SIS是为了安全而设立的紧急控制系统。平时只是待机、备用而已。SIS是用于安全的备用控制操作系统,必须保持SIS独立并且好用,SIS仪表元件性能必须符合SIL等级的要求,以防止化工装置的安全事故。SIS与BPCS都是由各个仪表元件组成。在设立SIS时,需要验证SIL等级。SIL等级确定了,可以判断SIS与BPCS的仪表元件那些必须独立分开,那些可以共用。SIS回路系统各仪表元件也可以用概率法计算,验证是否符合已评估的SIL等级。
作者:张远领 陆生安 徐宾胜 崔玉荣 单位:连云港石化有限公司 江苏国恒安全评价咨询服务有限公司 南京宁惠安全技术服务有限公司
