您现在的位置:首页找资料 > 设备管理体系标准6S目视化 >

SIS安全联锁功能可用性分析
作者:王秉义  张惠良  左信 《石油化工自动化》


摘要:安全完整性等级(SIL)是衡量安全仪表系统(SIS)安全防护能力的重要指标,SIS的配置高,对装置生产安全具有有效的防护能力。反之,虽然SIL等级满足了安全要求,但由于误停车率过高(可用性差),将使生产无法正常进行,而引起巨大的经济损失。目前,SIS自动投用率普遍偏低,误停车率高是其中一个主要原因。阐述运用马尔可夫模型求解SIF平均误停车时间间隔(MTTFS)指标和平均误停车概率(PFS )指标,以实例说明在分析SIF中综合考虑SIL和平均误停车性能指标,对保障SIF的自动投用,提高生产安全保障能力的重要性。
关键词:安全仪表系统  安全仪表功能  可用性  误停车率  安全完整性等级

 

    安全仪表系统(SIS)是装置安全生产的重要保护层,其与DCS在可靠性与可用性要求方面具有不同的特点。DCS要求在可靠的前提下力求最大的可用度,以使操作员能对工艺过程进行灵活干预,从而保持生产过程平稳;SIS系统则要求在一定的可用条件下,寻求最大的可靠度,其时刻监视过程参数的变化,一旦超限,即采取系列动作以避免事故的发生,或遏制事故的发展。换言之,SIS的执行机构平时并不动作,只在有要求时,执行机构才执行安全要求规格书(SRS)所规定的动作。但配置SIS系统是一把双刃剑合理的系统配置(安全功能)是安全生产的一道有效保护墙但不恰当的配置则会因高频度的误动作而引起频繁停车,从而造成巨大的经济损失。
    根据壳牌公司对安曼的一个LNG厂SIS系统配置调查,SIS安全功能的过度配置占67% 左右,如图1所示。

 

注:取消变送器78个;取消阀门14只;第一年节省费用大于100万美元

    由此可见,不合理的SIS系统联锁配置不但增加了SIS系统的成本,而且也因误动作而造成巨大经济损失,提高了系统投资与维护成本。

1、SIS安全联锁投用率偏低的原因分析

    目前SIS系统自动投用率普遍较低,通过对公司生产装置所配备的SIS投用情况分析,可归纳为以下四方面因素:

a)装置联锁保护误停车率高。导致误停车的主要原因:

1) 生产装置普遍缺乏适时的风险评估。尤其是设计仅考虑装置局部安全风险,没有考虑对上下游装置运行影响进行整体评估。对生产装置进行风险评估,是核定SIS所需安全完整性等级(SIL)的基础,应该综合全局考虑。对风险的容忍程度与企业技术及管理水平、社会经济发展水平、社会环保安全意识等密切相关。随着社会经济的发展,以及人们环保意识的提高,对安全要求越来越高。随着企业生产技术水平与管理水平的不断提高,对生产工艺的调整,使得对安全仪表功能(SIF)的SIL提出新的要求。然而,在役SIS自投用以来(或随成套工艺包配置),其SIF的SIL一直未做调整,其SIF配置、联锁动作参数设置等方面难以保障当前装置平稳、安全生产的实际需要。
2) SIS普遍
缺少SIF的SIL核算(安全风险、财产风险及环境风险)。目前,SIF的设计一般依据经验选择。首先,SIS一般缺乏仪表部件失效数据,如传感器和执行机构(电磁阀、截断阀等),由于资金等原因没有选用具有SIL等级能力认证的仪表与执行机构;其次,虽在关键装置上配备了SIS系统,但缺少对仪表可靠性数据的统计收集(经使用验证的仪表用于SIS最具说服力,但缺少统计数据说明,仅凭感觉将缺乏可信度);其三,依据GB/T21109[4] 对SIF的SIL等级进行核算普遍缺失,虽然生产装置配置了SIS系统,但并不能保证其具有相应的安全防护能力。
3) 部分成套设备配套的仪表,其
质量未能满足SIS对仪表SIL等级能力的要求,可靠性差、使用寿命短,造成部分SIF不能投用。如实现大型加热炉的进风控制,炉内温度、风机及风门联锁的执行机构,其配置的阀杆的光洁度和硬度不如调节阀杆,并且在正常生产阶段,该阀长期处于静止状态,出现生锈或漏气现象。
4) 受
仪表安装、维护质量的影响,如堵、漏、冻凝,以及材料质量问题,导致误停车或在要求动作时无法动作。
5) SIS中对安全联锁和一般工艺
联锁没有区分,使得SIF结构复杂,难以满足SIL要求。
6) 对SIF缺乏
误停车率指标核算。由于不合理的配置,虽然其SIL等级满足设计要求,但其误停车率偏高,导致SIS系统无法在实际中投用。

b)大型转动设备自保联锁,部分条件不能满足投用条件,而无法投用SIF功能。其原因有:
1) 原有
老机组联锁逻辑不适应当前的安全规范要求,仪表配置比较低,其可靠性和稳定性差。
2) 机组的
联锁逻辑和设定值欠妥,生产厂家单纯考虑机组设备本身,没有综合考虑其停机对装置的影响,逻辑条件过于苛刻和严格。设计应整体考虑。比如将轴系仪表、轴振动、位移、轴瓦温度、电机定子、转子温度等全部作为联锁停机条件,并将润滑油温度不低于30℃作为机组的启动条件,但在东北地区很难满足这一条件,尤其在冬天。
3)
配套仪表出厂时的安装、配置存在不足,且后续难以修改。如大机组轴瓦温度传感器基本上都是安装于机壳内的埋入式铂电阻,其引线极易断。若引线开路,其输出超过报警值,将引起联锁误动作停机。压缩机的振动探头、位移传感器探头安装也存在类似问题。
4) 机组的
部分工艺条件难以达到联锁条件,如汽轮机出口压力,其与蒸汽管网相连,单一机组不能改变其出口压力参数,致使相应的SIF无法投用。
5)
仪表的安装与维护质量影响SIF的投用。如轴瓦测温热电阻的安装工艺、轴振动与位移探头的安装间隙、接线等不合适,都将引起测量偏差,而引发联锁误动作。

c)SIS的维护周期与质量不能满足SIF的可靠性要求。电子器件的可靠使用寿命一般为10~12年,随着使用年限的加长,仪表的失效率将增加。另外,由于设备改造,SIS也需进行扩容。为保证SIF的SIL等级要求,需对SIS进行定期维护和检修(SIS系统部件检修时间间隔直接影响SIF的SIL等级水平) 。在生产装置正常运行过程中,可通过“旁路”临时切除联锁条件(在切除时应有一套规范和措施以保证SIF的安全),并定期对传感器与执行机构进行必要的维修、检定与维护。目前,一次仪表与执行机构,尤其是执行机构在正常生产运行期间没有机会检修(没有旁路设置),
因缺少及时的维护,SIF回路的可靠性难以保证。

d)SIS报警缺乏层次,故障报警较多,易引起操作员麻痹,导致误操作。如多机组SIS系统,在备用机组停机、油系统或出人口阀门处于关停状态时,由于备用机组处于非正常运行位置,SIS系统就会出现报警。这些报警没有层次与级别区分,致使报警过多,容易导致操作人员对关键报警信息的疏忽。

2 、SIF回路可用性分析

综合以上对目前SIS低投用率的情况分析,主要问题有:
a)
少适时的SIF的SIL等级需求评估当前SIS的SIF配置一般都是依据经验配备,但同一套装置在不同的企业中,其附加的安全防护能力并不相同(如泄压阀、空间距离、远程监控能力等)。由于缺少对SIF的SIL要求的明确定级,加上大部分SIS不只用于安全联锁目的,而且考虑方便设备重启等问题,将一般工艺联锁也配置其中。因此,联锁结构比较复杂,难以明确了解实际安全联锁的SIL等级是否满足要求。

b)
少SIF的SIL等级和误停车率核算
目前配置SIS时,主要关心其控制器的SIL能力:传感器和执行机构的失效率对SIL等级的影响更大(一般在70 %以上),而传感器和执行机构往往又缺少有效的数据支持,使得SIF的SIL等级未能满足装置安全防护能力要求,起不到应有的安全保护作用;或者虽然其SIL等级满足装置安全要求,但其误停车率过高,影响SIS的实际投用;或虽投用,但会因频繁的误停车而造成巨大的经济损失。

c)对SIF的功能安全管理
缺少有效的监控
    SIS对装置的安全防护能力由系统的随机性失效(SIL等级核算验证)和系统性失效共同决定。目前对SIF的随机性失效的验证比较普遍[7]。随着GB/T 21109安全仪表功能安全标准的推广与采用,对系统性失效的考核与控制将进一步加强。系统性失效主要由制造缺陷或不足(如上述的振动探头故障、联锁逻辑不妥、联锁参数设置不合理、报警重要性层次不分明等)引起。由于系统性失效难以量化处理,只能运用严格的SIF的功能安全管理规范加以避免和减少(另文阐述)。由此可见,在SIS系统SIF分析中,必须同时考核SIF的SIL等级和误停车性能指标,才能保证SIS系统的有效投用。
针对SIS存在的主要问题,笔者以图2~3所示SIF为例,探讨采用马尔可夫模型进行SIF可用性分析,考核验证SIF、的SIL和误停车率指标(MTTFS和PFS avg )。依据分析结果,提出合理化建议,以提高SIS系统的投用率,保障对生产装置的防护能力。

 


 


该SIF设计为失电使能(停电时,执行机构置于安全状态,即事故安全型),且各传感器检测回路和执行机构回路具有在线诊断能力。由于系统具有旁路设置和冗余配置,当在线检测出故障后,可在线维护与更换,检修时间平均为8 h。SIS的整体测试间隔与设备大修周期同步,为3年。该SIF的SIL等级需求为SIL2,其各组成部分的失效数据见表1所列。
 

马尔可夫模型具有动态分析失效概率的能力,上述SIF马尔可夫模型如图4所示,其中状态1为初始完好状态;状态2为安全失效(误停车)状态;状态3为危险失效状态(对安全要求的动作没有响应);其余状态4~19为存在一路检测传感器或执行机构失效,且SIF还能执行相应安全功能的中间状态。处于中间状态时,若出现进一步的故障,将使SIF系统进入安全失效或危险失效状态。由于失效率都很小,为简化运算,建模时不考虑级联失效(如一路温度传感器失效后又出现一路压力传感器失效,但SIF还能执行其要求的功能的情况)对计算精度的影响。
 

马尔可夫状态转移率为
 






 

式中:λ——失效率;上标首字母S, D——安全失效和危险失效;上标第二字母D,U——可检测不可检测;下标S1,S2,S3,S4,A1,A2,L,PS——流量传感器、压力传感器、温度传感器、液位传感器、电磁阀、截断阀、逻辑控制器和电源。根据上述状态转移率,得到马尔可夫转移矩阵为:
 


    MTTFS求解方法[8]为将转移矩阵P中对应吸收状态(FS和FD)的行和列去掉,形成新矩阵Q,并在状态转移率公式中,将危险失效率置零,求出截阵Qs ,并依据下式求矩阵N。
 

N =(I-Qs) -1

    N提供了系统由起始状态开始,经历了每一个成功状态(暂态)后的总时间增量。N矩阵中,第一行表示起始于完好状态l的总时间增量。假设马尔可夫模型的时间步长选为1 h,则MTTFS为矩阵N第一行元素的和。
    利用建立的马尔可夫模型(运用ISOgraph Reliability Workbench 10.2软件平台)和状态转移矩阵P进一步求解PFDavg 、平均误停车失效概率PSFavg 和MTTFS。分析计算结果见表2和图5~6所示。




 

    由分析可见,此SIF的MTTFS为1.15 a。虽然该SIF不论在维护检修时间间隔为1 a还是3 a时,其SIL等级都能满足设计要求(SIL2),但3 a的检修时间间隔是不能接受的,因其过大的误停车概率将引起SIS的频繁误停车,造成巨大的经济损失,而使系统无法实际投用。因此,对于一般企业规划的3 a大修时间问隔,必须重新分析考核,在满足SIF的SIL等级要求的前提下,达到相应的MTTFS和PFS 指标要求,才能有效发挥SIS在企业安全生产中的安全防护作用。

3 结束语
    造成SIS系统投用率低的
原因是多方面的,但其可用性差是重要原因之一。在设计SIS或在役SIS安全性能评估中,需关注以下三个方面:
a)
适时的风险评估,核定SIF的SIL等级要求,并根据检修时间间隔和误停车对生产的影响,核定SIF的PFS 和MTTFS指标要求。
b) 区分SIF联锁回路和一般工艺联锁,
区分报警层次级别。
c) 定期核查SIF回路的SIL等级和PFS 与MTTFS指标,在保证SIF具有足够安全防护能力的同时,具有足够的可用性,以提高SIS系统的投用率,防止系统频繁误动作,从而有效提高SIS的防护能力。


参考文献(略)
 


► 如果本文对您有帮助,请分享给您的朋友!  

【提示】:
1.不断更新的好资料和答疑集锦在 www.hb-qg.com  “找资料”栏目公布。
2.QQ群:
2000+人群,专业高质、答疑解惑、互动交流,Q群名:中国设备管理, Q群号: 283752911
主要交流:设备管理体系标准、ISO55001资产管理、设备完整性管理、6S管理、目视管理、安全管理、企业管理等,纯广告者禁入!
3.加"中国设备管理" Q群,总有一个人知道你问题的答案!
4.优秀留言有机会录入“找资料”栏目答疑集锦,并欢迎大家来稿分享


关于我们 | 联系我们

版权所有:成都华标企业管理咨询有限公司
备案号:蜀ICP备12004850号
技术支持:成都顶呱呱