安全仪表系统的主要作用是在工艺生产过程发生危险故障时将其自动或手动带回到预先设计的安全状态,以确保工艺装置的生产的安全,避免重大人身伤害及重大设备损坏事故。在安全仪表系统的设计过程中,IEC 61508,IEC 61511提供了极好的国际通用技术规范和参考资料。IEC于2000年5月发布了IEC 61508标准,2003年1月颁布IEC 61511标准。这两个标准有很密切的关系,IEC 61508标准是综合性基础标准,主要为装置的制造商和供应商使用,IEC 61511可以说是IEC 61508的延续,主要针对具体的仪器仪表设计者和用户使用。2006年,2007年等同采用IEC 61508,IEC 61511的中国国家标准 GB/T 20438,GB/T 21109相继发布,中国的功能安全标准开始规范我们的功能安全工作。在安全仪表系统的设计领域,通常将IEC 61508与IEC 61511 结合使用。在安全仪表系统回路设计过程中,一般需要遵循下列几点原则。
1 SIS设计的可靠性原则(安全性原则)
为了保证工艺装置的生产安全,安全仪表系统必须具备与工艺过程相适应的安全完整性等级SIL(Safety Integrity Level)的可靠度。对此,IEC 61508进行了详细的技术规定。对于安全仪表系统,可靠性有两个含义,一个是安全仪表系统本身的工作可靠性;另一个是安全仪表系统对工艺过程认知和联锁保护的可靠性,还应有对工艺过程测量,判断和联锁执行的高可靠性。
评估安全完整性等级SIL的主要参数就是PFDavg(probability of failure on demand 平均危险故障率),按其从高到低依次分为1~4级。在石化行业中一般涉及到的只有1,2,3级,因为SIL4级投资大,系统复杂,一般只用于核电行业。
2 SIS设计的可用性原则
可用性(也称可用度)是指安全仪表系统在一个给定的时间点能够正确执行功能的概率。常用下面公式表示:
A=MTBF/(MTBF+MDT)
其中:
A----------可用性
MTBE----平均无故障工作时间
MDT------平均停车时间
要使系统可用度增加,就要增加平均无故障工作时间(MTBF),或减少平均停车时间(MDT)。对于安全仪表系统的设计而言,不能一味的追求系统的高可靠性,系统的可用性也需要考虑。正确的判断过程事故,可以减少装置的非正常停车,减少开,停车造成的经济损失。
为了提高系统的可用性,安全仪表系统应具有硬件和软件自诊断和测试功能。安全仪表系统应为每个输入工艺联锁信号设置维护旁路开关,方便进行在线测试和维护同时减少因安全仪表系统系统维护造成的停车。需要注意的是用于三选二表决方案的冗余检测元件不需要旁路,手动停车输入也不需要旁路。同时严禁对安全仪表系统输出信号设立旁路开关,以防止误操作而导致事故发生。如果SIL计算表明测试周期小于工艺停车周期,而对执行机构进行在线测试时无法确保不影响工艺而导致误停车,则安全仪表系统的设计应当根据需要进行修改,通过提高冗余配置以延长测试周期或采用部分行程测试法,对事故状态关闭的阀门增加手动旁通阀,对事故状态开启的阀门增加手动截止阀等措施,以允许在线测试安全仪表系统阀门。这些手段对于提供安全仪表系统的可用性都是很有帮助的。
3 SIS设计的独立性原则
安全仪表系统应独立于基本过程控制系统(BPCS,如DCS,FCS,CCS,PLC等),独立完成安全保护功能。安全仪表系统的检测元件,控制单元和执行机构应单独设置。如果工艺要求同时进行联锁和控制的情况下,安全仪表系统和BPCS应各自设置独立的检测元件和取源点(个别特殊情况除外,如配置三取二检测元件,进DCS信号三取中,进安全仪表系统三取二,经过信号分配器公用检测元件)。如需要,安全仪表系统应能通过数据通信连接以只读方式与DCS通信,但禁止DCS通过该通信连接向安全仪表系统写信息。安全仪表系统应配置独立的通信网络,包括独立的网络交换机,服务器,工程师站等。安全仪表系统应采用冗余电源,由独立的双路配电回路供电。应避免安全仪表系统和BPCS的信号接线出现同一接线箱,中间接线柜和控制柜内。
4 SIS设计的标准认证原则
随着安全标准的推出以及对安全系统重视度的不断提高,安全仪表系统的认证也变得越来越重要,系统的设计思想,系统结构都须严格遵守相应国际标准并取得权威机构的认证。安全仪表系统必须获得IEC 61508 SIL和/或TUV AK(德)相应SIL等级的认证。安全仪表系统系统中使用的硬件,软件和仪表必须遵守正式版本并已商业化,同时必须获得国家有关防爆,计量,压力容器等强制认证。严禁使用任何试验产品。
5 故障安全原则
当安全仪表系统的元件,设备,环节或能源发生故障或者失效时,系统设计应当使工艺过程能够趋向安全运行或者安全状态。这就是系统设计的故障安全行原则。能否实现“故障安全“取决于工艺过程及安全仪表系统的设计。整个SIS,包括现场仪表和执行器,都应设计成以下绝对安全形式,即:1)现场触点应开路报警,正常操作条件下闭合;2)现场执行器联锁时不带电,正常操作条件下带电。
对于执行器,如切断阀,一般情况下SIS应设计成安全联锁动作时,切断阀在安全的即失气的状态。当有多个不同的工艺回路对该切断阀有不同动作要求时;如同一个FC(失气时关)切断阀,A安全联锁动作时要求该阀门全开;另一个B安全联锁动作时要求该阀门全关。此时就要求SIS在A安全联锁中输出“1“使电磁阀带电阀门全开,在B安全联锁中输出”0“使电磁阀失电阀门全关。
以上的说明是通常情况下的故障安全。其实对于故障安全还应具体情况具体分析,要确定最有可能发生的故障状态,并不是一律“常闭接点,正常带电“。
6 SIS的冗余原则
为了提高安全仪表系统的SIL等级,对系统的各个单元实现冗余是必须的。其基本原则为:
(1)传感器的冗余原则:对于SIS的SIL1回路,可采用单一的传感器;对于SIS的SIL2回路,宜采用“1oo2D” 或“2oo3”冗余的传感器;对于SIS的SIL3的回路,应采用“2oo3”冗余的传感器。
(2)SIS逻辑表决算器的冗余原则:SIL1可采用“1oo1D”单逻辑单元;SIL2宜采用“1oo2D” 或“2oo3” 冗余逻辑单元;SIL3宜采用“2oo3” 或“2oo4D” 冗余逻辑单元;
(3)SIS控制阀的冗余设置原则:SIL1可采用单电磁阀,单SIS控制阀;SIL2宜采用冗余电磁阀,单SIS控制阀;SIL3应采用冗余电磁阀,双SIS控制阀;
SIS冗余控制阀为分别带电磁阀的两个SIS开关阀,也可为带电磁阀的1个调节阀加1个SIS开关阀;冗余输入的SIS逻辑应当包括输入信号偏差报警(2个变送器的信号偏差,报警设定值为5%).
7 SIS的诊断与在线维护原则
SIS应具有硬件和软件自诊断及测试功能。SIS应为每个输入工艺联锁信号设置维护旁路开关,方便进行在线测试和维护。用于3选2表决方案的冗余传感器不需要旁路,手动停车输入也不需要旁路。严禁对SIS输出信号设立旁路开关。如果SIL计算表明测试周期小于工艺停车周期,而对最终执行元件进行在线测试时无法确保不影响工艺或导致误停车;则SIS的设计应当根据需要进行修改,通过提高冗余配置以延长测试周期或采用部分行程测试法,对故障关的阀门增加手动旁通阀,对故障开的阀门增加手动截止阀等措施,以允许在线测试SIS阀门。对于SIS联锁旁路应设置“禁止/允许”开关。SIS旁路开关的动作应当在DCS中产生报警并予以记录。除非旁路解除,报警始终处于活动状态。
8 维护旁路开关(MOS)设置
1 MOS作用
维护旁路开关(Maintenance Override Switch,MOS)为SIS的变送器,检测开关等现场设备的在线检修设置。由于在旁路状态下SIF的功能及其安全完整性都是受限的。因此旁路的设计和操作管理,成为SIS工程中重要的关注点之一。
旁路操作本身应有报警,记录和显示;在旁路期间也应始终保持对工艺过程状态的检测和指示。旁路操作应有明确的操作程序,并纳入到功能安全评估和现场功能安全审计的范围之内。重要的一点,旁路设计应仅限于正常的工艺过程操作界限之内,不能代替或用作安全防护层功能。
2 设置 MOS要遵循以下原则:
1) 当传感器被旁路时,操作人员有其它手段和措施触发该传感器对应的最终执行元件,使工艺过程置于安全状态;
2)当传感器被旁路时,操作人员有其它手段和措施监测到该传感器对应的过程参数或状态。
3)当传感器被旁路时,操作人员有其它手段和措施,并有足够的响应时间取代该传感器相关的SIF,将工艺过程置于安全状态。
4)MOS不能用于屏蔽手动紧急停车按钮信号,检测压缩机工况的轴振动/位移信号以及报警功能等;
5)MOS的启动状态应有适当的显示。旁路状态的时间不宜太长,如果对该时间有严格的限定,可设计“时间到”报警,但是不能自动解除旁路状态。
对于MooN表决机制的变送器信号,MOS逻辑设计要考虑降级模式对安全性和可用性的影响。例如,从安全性角度,2oo3旁路后应降级1 oo2;而对于停车将造成重大经济损失的回路,2oo3旁路设计可能采用降级为2oo2。
楼主最近还看过