狠狠色综合7777夜色撩人小说,狠狠综合久久久久综合,韩欧美一中文字幕,91精品啪在线观看国产免费

影響SIL驗證的主要因素有哪些?

文章轉載自《石油化工自動(dòng)化》雜志2021年第5期

全文約6400字,閱讀時(shí)間約20分鐘

作者:邢勐1,皮宇2,裴炳安2

(1. 中國石油化工股份有限公司;2. 中石化廣州工程有限公司)


"

按照原國家安全生產(chǎn)監督管理總局文件《國家安全監管總局關(guān)于加強化工安全儀表系統管理的指導意見(jiàn)》(安監總管三[2014]116號)的規定,在建項目,在役生產(chǎn)裝置自2020年起均需開(kāi)展安全完整性等級(SIL)的驗證工作,筆者在實(shí)施國外項目及國內項目的SIL驗證工作中發(fā)現,很多驗證問(wèn)題均與GB/T 21109.1—2007《過(guò)程工業(yè)領(lǐng)域安全儀表系統的功能安全第1部分:框架、定義、系統、硬件和軟件要求》定義的安全生命周期活動(dòng)緊密關(guān)聯(lián),本文詳細闡述了SIL驗證工作中遇到的各種問(wèn)題及影響因素,希望對安全儀表系統(SIS)的設計、采購及施工、維護維修管理提供參考,本文出現大量專(zhuān)用術(shù)語(yǔ)及縮略語(yǔ),限于篇幅不逐一詳解,請參閱文獻[2]和GB/T 20438—2017《電氣/電子/可編程電子安全相關(guān)系統的功能要點(diǎn)》,IEC 61508及IEC 61511標準。


1、SIL驗證

當一個(gè)安全儀表功能(SIF)的SIL定級大于或等于1時(shí),需要對該SIF進(jìn)行SIL的驗證,要通過(guò)SIL驗證,必需滿(mǎn)足架構約束、SIF回路要求的平均失效概率(PFDavg)算滿(mǎn)足SIL報告要求、系統能力達到SIL要求,此外,SIL驗證還需檢查滿(mǎn)足誤停車(chē)率、滿(mǎn)足檢驗測試周期等要求,這些因素與安全生命周期的各項活動(dòng)都有緊密關(guān)聯(lián)。


2、影響SIL驗證的主要因素
   

 2.1 SIL驗證需要的輸入數據及信息

SIL驗證需要的輸入數據及信息至少應包含以下內容:SIL定級報告,需包含SIF回路的位號、功能描述,SIL等級及要求的PFDavg;SIF回路的結構及各個(gè)部件的表決架構;SIF回路各個(gè)部件選用廠(chǎng)家的具體型號及廠(chǎng)家針對型號提供的SIL證書(shū)及安全手冊;以及測試檢驗周期;儀表故障模式設計;儀表測量值在線(xiàn)比對診斷;操作模式要求;平均修復時(shí)間(MTTR );產(chǎn)品使用壽命或完美使用時(shí)間;瞬變信號過(guò)濾;測試覆蓋率及診斷覆蓋率(Dc);誤停車(chē)率;事故安全型設計原則;共因失效因子。


2.1.1 SIL定級報告對SIL驗證的影響

SIF回路涉及的儀表數量及結構如果在SIL報告中描述不清晰,驗證工作很難準確開(kāi)展。例如:燃料氣壓力低低緊急停爐切斷燃料氣閥門(mén)XXX-A,XXX-B,打開(kāi)放空閥XXX-C,該描述僅重復了邏輯圖中的邏輯關(guān)系,但是對于是否所有的閥門(mén)的動(dòng)作都屬于該SIF回路功能卻并沒(méi)有清晰界定。如果不了解工藝,將放空閥加入驗算,將導致執行元件的架構變化。事實(shí)上,放空閥是否打開(kāi),對SIL定級時(shí)定義的特定的SIF危險場(chǎng)景沒(méi)有影響,放空閥的動(dòng)作不能阻止SIL定級時(shí)所分析的爐膛熄火燃料氣繼續進(jìn)入爐膛的危險場(chǎng)景,而是作為切斷閥關(guān)閉后,防止閥門(mén)內泄漏產(chǎn)生的燃料氣進(jìn)入爐膛的另一個(gè)特定的危險場(chǎng)景,該閥不能算作該特定SIF最終執行元件表決架構中的一個(gè)組成部分,不能參加驗算,否則將導致執行元件的PFDavg值偏高,驗證不容易通過(guò),所以SIL分析報告中,一定要清晰辨識參與該特定SIF功能的各個(gè)部件。


在實(shí)際驗證中也發(fā)現,有的SIF如果不通過(guò)現有手段找到更多的獨立保護層(IPL)來(lái)降低風(fēng)險至足夠低的程度,則最終導致SIL等級或要求的風(fēng)險降低因子(RRF )設定的偏高,例如SIL3的等級,當需要滿(mǎn)足PFDavg的約束條件時(shí):PFD檢測部件、PFD邏輯控制器、PFD執行元件、PFD供電電源之和不大于SIL報告要求的該SIF的PFDavg。當前儀表設備的SIL證書(shū)很少單臺使用能達到SIL3,大多數是SIL2或通過(guò)冗余架構達到SIL3,對于PFDavg而言,特定SIL等級是一個(gè)相差10倍的范圍,關(guān)鍵是看SIL報告要求的PFDavg在該范圍的哪個(gè)區間,所有具有SIL3能力的子部件PFDavgg的和仍然可能大于SIL報告中要求的SIL3的PFDavg,SIL2的情況也類(lèi)似。所以當發(fā)現定義為SIL3或要求高RRF 的SIL2的SIF,一定要結合歷史及類(lèi)似場(chǎng)景復核該風(fēng)險等級、IPL和要求的PFDavg,尤其注意排除連帶其他風(fēng)險導致的各類(lèi)經(jīng)濟損失擴大化,如有必要,引入合理的點(diǎn)火概率及人員暴露因子進(jìn)行修正。很多場(chǎng)景僅僅通過(guò)儀表的手段來(lái)降低風(fēng)險使剩余風(fēng)險滿(mǎn)足要求是非常困難的,經(jīng)驗發(fā)現,當要求的RRF >200時(shí),單閥普遍很難通過(guò)驗證,即使通過(guò),儀表的采購價(jià)格也沒(méi)有經(jīng)濟性,所以工藝的本質(zhì)安全設計及通過(guò)更多且合理的IPL降低SIL的定級或要求的RRF 是通過(guò)SIL驗證最優(yōu)的選擇。


2.1.2 SIF回路儀表結構及表決架構對SIL驗證的影響

SIL驗證中需滿(mǎn)足SIF回路中所有環(huán)節的PFDavg之和小于定級時(shí)要求的PFDavg,但是驗證輸入資料中回路結構的信息往往提供不全,例如檢測元件回路是否包含安全柵、隔離器、防雷柵等,如果為開(kāi)關(guān)元件,回路是否有串聯(lián)、并聯(lián)等特殊接線(xiàn)結構等;執行元件回路的結構是否包含安全柵、繼電器、防雷柵,是否有特殊接線(xiàn)結構等,如果驗算遺漏了某個(gè)環(huán)節,整個(gè)回路的失效率計算將偏小,誤認為安全達到了要求。
實(shí)際工作中發(fā)現,驗算不能通過(guò),往往是由于某個(gè)容易被忽視的輔助設備的可靠性不高,產(chǎn)生了瓶頸效應引起的,此時(shí)可通過(guò)簡(jiǎn)化不必要的回路結構來(lái)提高回路整體可靠性,例如電磁閥或測量元件通過(guò)修改為隔爆類(lèi)型減少安全柵環(huán)節,超速保護模塊直接連接到現場(chǎng)停車(chē)速關(guān)閥,不通過(guò)機組保護系統去停車(chē)等。

在滿(mǎn)足架構約束的前提下,設計的表決架構如果不能通過(guò)驗證,需根據結果調整架構,設計架構并非硬件故障裕度(HFT )越大越好,HFT 越大,驗證越容易通過(guò),但誤停車(chē)率增加,要綜合兼顧誤停車(chē)率增加對經(jīng)濟效益的影響,合理設計表決架構,例如同為HFT =1的架構,“2oo3”比“1oo2”的誤停車(chē)率低。


2.1.3 儀表采購型號及證書(shū)對SIL驗證的影響

SIL驗證需要真實(shí)選型儀表的PFDavg數據,此時(shí)需要儀表廠(chǎng)家提供相關(guān)的SIL證書(shū),如果沒(méi)有證書(shū),一般都選用驗證軟件庫中的通用數據來(lái)計算,通過(guò)的概率將大打折扣。
根據IEC61508,SIL驗證通過(guò)必需達到的架構約束見(jiàn)表1所列。
表1 IEC61508中SIL驗證需要達到的架構約束條件
微信圖片_20220822220229.jpg
注:1) SFF為安全失效加可診斷失效占全部失效的比率,值越大說(shuō)明設備越可靠。
A類(lèi)元件的典型儀表類(lèi)型為繼電器、閥門(mén)、開(kāi)關(guān)類(lèi)元件,B類(lèi)元件的典型儀表類(lèi)型為PLC、閥門(mén)定位器、智能變送器、內置集成電路的元件。當采購的儀表廠(chǎng)家不能提供很好的失效數據或SIL證書(shū)時(shí),且不能按照IEC 61508的先驗使用或IEC 61511規定的早先使用通過(guò)Route2H來(lái)證明其可靠性時(shí),該儀表的可靠性按照安全失效分數SFF <60%處理比較合理。如果檢測元件及執行元件設計架構都沒(méi)有考慮容錯時(shí),即HFT =0時(shí),檢測元件為電子元件類(lèi)變送器時(shí),對于SIL 1回路,是不能通過(guò)架構約束的。此時(shí)設計時(shí),必需考慮設計檢測元件為表決架構“1oo2”,“2oo3”,或“1oo3”才達到架構約束。對于SIL2回路,單純架構約束就需要檢測元件必需至少為“1oo3”或“2oo4”表決的架構,閥門(mén)也必需至少2臺。
從以上分析可以看出,儀表廠(chǎng)家的質(zhì)量證明及SIL證書(shū)可以直接影響架構設計,例如某浮筒變送器廠(chǎng)家的SIL證書(shū)信息為“Random Capability:Type B,SIL 2@HFT =0,Route 1H Device?!?/span>
證書(shū)表明,該變送器單臺SIL等級可以達到SIL2,架構約束單臺可以用于SIL1以及SIL2場(chǎng)合。
某閘閥廠(chǎng)家的證書(shū)部分內容:“Safety Integrity Level:SIL 2 @HFT =0;SIL 3 @HFT =1 for Safety Functions; Open on demand or Close on demand”,證書(shū)表明,該閥單臺SIL等級也能夠達到SIL2,如果設計為“1oo2”使用時(shí)可以達到SIL3。
上述并非說(shuō)明達到SIL2等級的該儀表回路肯定能通過(guò)驗證,除架構外,其他約束條件例如整體回路的PFDavg驗算以及系統能力的約束仍然要滿(mǎn)足。
對于系統能力,GB/T 20438.5—2017及IEC 61508-2,3針對其術(shù)語(yǔ)有詳細解釋?zhuān)饕怯糜诒苊庀到y失效。典型的某電磁閥的SIL證書(shū)上標明“Systematic Capability:SC3(SIL 3 Capable)”,表明該設備按照安全手冊規定應用時(shí),可最大程度避免除隨機失效以外的系統失效,滿(mǎn)足SIL3要求,系統能力體現在軟件、設計、安裝、使用、維護等需遵循產(chǎn)品安全手冊,安全手冊隨證書(shū)一起提供。
由上可見(jiàn),產(chǎn)品的SIL證書(shū)及配套安全手冊信息豐富,對于證明該設備滿(mǎn)足SIL驗證的3個(gè)條件非常重要。
但是實(shí)際驗證過(guò)程中卻發(fā)現,有些特殊產(chǎn)品,廠(chǎng)家沒(méi)有SIL證書(shū),例如蒸汽透平機的速關(guān)閥,催化及MTO裝置的滑閥及主風(fēng)阻尼單項閥等,由于歷史的原因,特閥或機械保護裝置在特定的場(chǎng)合使用非常成熟,此時(shí)驗證時(shí),因為這些SIF回路往往比較重要,SIL定級比較苛刻,如果采用數據庫中通用的電液執行機構或類(lèi)似執行機構驗算PFDavg時(shí),往往因為取值不好通不過(guò)驗算,但是該類(lèi)執行元件價(jià)格很高,冗余配置也不合理。此時(shí),可以根據IEC61508關(guān)于“Proven in use,使用證明”及IEC61511關(guān)于“prior use,先驗使用”的相關(guān)規定,針對該設備進(jìn)行文件化評估,即根據設備以往的使用情況,提供該同型號設備成熟用于類(lèi)似場(chǎng)合的證據,例如提供該型號的滑閥已經(jīng)用過(guò)多少實(shí)例,至少多少小時(shí)安全運行,對于幾套類(lèi)似裝置使用,多少個(gè)用戶(hù)。通過(guò)該方式,該設備可以取到滿(mǎn)意的PFDavg的參數使PFDavg驗算通過(guò),計算示例如下:
假設某廠(chǎng)某型號設備某裝置已使用200臺,5 a內僅2臺發(fā)生故障,則危險失效率λD依據小時(shí)為單位可計算為: λD=2/(200×5×8 760)=2.28×10-7。

類(lèi)似無(wú)證書(shū)設備可參考該計算方法取值。


2.1.4 其他因素對SIL驗證的影響

根據ISA-TR84.00.02:2002規定,PFDavg的計算是一個(gè)非常復雜的函數,與測試間隔時(shí)間、維修周期、共因失效等諸多因素有關(guān),限于篇幅,僅摘選部分主要因素分析如下:
1) 測試檢驗周期。工藝設計之初已結合業(yè)主的要求確定停工大修周期,全廠(chǎng)停工時(shí),檢維修人員手動(dòng)測試各個(gè)安全儀表的功能并進(jìn)行維護。SIL驗算時(shí),該周期按照大修周期例如48個(gè)月來(lái)驗算,驗算不過(guò)的大部分原因,是因為閥門(mén)失效率過(guò)高,當可以附加部分行程測試裝置(PST)時(shí),可按照驗算建議的周期測試而不影響工藝。國外也有設計帶切斷閥的旁路備用聯(lián)鎖閥的方式,測試時(shí),打開(kāi)旁路切斷閥,投用備用閥門(mén),關(guān)閉測試閥門(mén)前后切斷閥進(jìn)行測試。通過(guò)各種技術(shù)手段,測試間隔時(shí)間可按要求降低,當只采用1臺閥門(mén)執行SIF功能時(shí),該閥的PFDavg當僅考慮隨機失效時(shí),可簡(jiǎn)化計算如式(1)所示:
PFDavg=λDU Ti/2          (1)
式中: λDU——未檢測到的危險失效,產(chǎn)品證書(shū)上的值,對應證書(shū)上固定的檢測周期,一般為1 a;Ti——測試檢驗間隔時(shí)間,當閥門(mén)配PST時(shí),原大修周期4 a可根據計算縮短,當取6個(gè)月時(shí),閥門(mén)的PFDavg可降低為原來(lái)4 a的8倍,很多情況驗證就通過(guò)了,該指標對驗證影響很大。

2) 儀表故障模式設計。當儀表故障模式符合MAMUR NE 43標準時(shí),智能儀表檢測到儀表故障時(shí)根據預先設定的故障模式,決定儀表信號的走向及旁路開(kāi)關(guān)的設計方式是觸發(fā)聯(lián)鎖還是避免聯(lián)鎖,架構是否降級等,控制系統組態(tài)以及現場(chǎng)儀表的配置都需要相互匹配,當按照觸發(fā)聯(lián)鎖實(shí)施時(shí),容易通過(guò)驗證,但是誤停車(chē)率增加。

3) 儀表測量值在線(xiàn)比對診斷。是指安全儀表獨立配置后,仍然需要在同樣的工藝場(chǎng)合設計一塊進(jìn)DCS的儀表與安全儀表測量值實(shí)時(shí)比對,針對測量值的偏差進(jìn)行診斷報警,如果安全儀表容錯設計,同時(shí)也相互比對,及時(shí)發(fā)現每塊安全儀表的失效,除儀表自身診斷以外的基于偏差的診斷設計理念,將利于驗證通過(guò)。
4) 操作模式要求。按照GB/T 20438.4—2017中第3.5.16條要求,一般石油化工都取低要求模式,1 a最多聯(lián)鎖動(dòng)作一次,對應國標,SIL等級的PFDavg取值才有依據。
5) MTTR 。該術(shù)語(yǔ)的含義是設備發(fā)生故障到重新恢復正常工作的時(shí)間期望值,其值需依據業(yè)主維護維修力量,采購備品、備件情況,廠(chǎng)家售后服務(wù)地點(diǎn)及服務(wù)合同,交通狀況等綜合決定,一般國內現場(chǎng)儀表按照良好條件可定義為24 h,即該設備如果發(fā)生故障,24 h后可重新投用如初,對于邏輯控制器,大多數故障為軟件故障,修復可采用重新啟動(dòng)或使用通信手段與廠(chǎng)家咨詢(xún)解決,一般可取4 h。MTTR 值對驗證有一定影響,時(shí)間越短,設備可靠性保障越好,驗證越容易通過(guò)。
6) 產(chǎn)品使用壽命或完美使用時(shí)間?!巴昝馈笔侵甘褂玫漠a(chǎn)品性能與新產(chǎn)品基本無(wú)差異,產(chǎn)品使用壽命在儀表的安全手冊中有闡述,例如某閥位開(kāi)關(guān)證書(shū)中標明,“Lifetime expectancy is estimated 45 years as long as regular maintenance is carried out as recommended by the manufacturer in the safety manual.”根據該產(chǎn)品的可靠性,在安全手冊指導使用方法及定期維護前提下,推薦使用于安全場(chǎng)合45 a,當然也要綜合考慮備件供應時(shí)間及廠(chǎng)家技術(shù)支持服務(wù),一般取最小值。該值越大表明產(chǎn)品質(zhì)量越好,越容易通過(guò)驗證。
7) 瞬變信號過(guò)濾。指控制系統對輸入瞬變信號是否過(guò)濾不響應,例如對于壓力高高聯(lián)鎖,瞬間超壓是否立即動(dòng)作或延時(shí)動(dòng)作,需業(yè)主、設計、廠(chǎng)家三方共同商議,結合儀表響應時(shí)間、歷史事件及誤停車(chē)率綜合分析決定,過(guò)于敏感對驗證容易但是誤停車(chē)率將增加。
8) 測試覆蓋率及診斷覆蓋率。根據GB/T 20438.4—2017規定,測試覆蓋率指通過(guò)可靠性測試的手段能檢測出的危險失效占總失效數量的比例,該值越高,表明業(yè)主的維護維修能力越高;該值越低,設備的不間斷使用周期要求越高。該測試也分在線(xiàn)與離線(xiàn),在線(xiàn)測試與旁路的設計、容錯的架構等有關(guān),很多廠(chǎng)家的安全手冊包含常見(jiàn)失效的測試方法,該測試為人工測試與自動(dòng)診斷測試不同,自動(dòng)診斷不能檢測的失效要通過(guò)人工檢測方法實(shí)現,該值越高,驗證越容易通過(guò)。
當元件為智能儀表時(shí),可通過(guò)自動(dòng)自診斷的方式來(lái)檢測危險失效占總失效比例,稱(chēng)為診斷覆蓋率Dc,Dc不包含通過(guò)人工手段檢測到的任何故障。
Dc與設備失效率之間的關(guān)系如式(2)所示:
SFF =(λs+λD·Dc)/(λs+λD)      (2)
式中: λs——安全失效率;λD——危險失效率。
Dc越高,SFF 值越大,設備越可靠,PFDavg值就越小,通過(guò)PFDavg驗證的概率就越大。Dc適用于邏輯控制器以及智能變送器,對于SIL3的邏輯控制器,根據IEC61508-2,可取99%或更好,對于智能變送器本身就具有很強的自診斷功能,絕大多數的危險失效可以通過(guò)儀表本身的自診斷得到,依據IEC61508及IEC61511標準,當檢測元件的診斷由DCS實(shí)現時(shí),最高也不能達到90%,因為DCS本身也會(huì )失效,最大的風(fēng)險降低因子就是10。另外該診斷與上述儀表故障模式設計及故障發(fā)生后旁路設計有很大關(guān)系,該關(guān)系較為復雜,限于篇幅,這里不加以贅述。根據IEC61508-2規定,當設備為typeB類(lèi)電子元件時(shí),當證書(shū)使用Route 2H方式認證時(shí),Dc不得低于60%,說(shuō)明有證書(shū)的儀表可靠性及智能化程度高,驗證更容易通過(guò)。
對于執行元件不是智能儀表,無(wú)法實(shí)施在線(xiàn)診斷測試時(shí),一般閥門(mén)的SIL證書(shū)都會(huì )寫(xiě)明失效率的對應條件是Dc=0,并給出可靠性測試間隔要求,大多為1 a,驗算不通過(guò)時(shí),如果因為各種原因不容易改變架構時(shí),此時(shí)最合理的選擇就是加PST將測試間隔降低。加PST后,可檢測出大部分危險失效,甚至配合先進(jìn)的診斷軟件也可以實(shí)現在線(xiàn)診斷,但也不能達到100%的故障全部診斷出來(lái),鑒于閥門(mén)的故障復雜性及業(yè)主的維護隊伍的技術(shù)實(shí)力,加PST后的測試覆蓋率常選擇75%~80%,加PST更利于通過(guò)SIL驗證。
9) 誤停車(chē)率。該數據需要業(yè)主結合經(jīng)濟效益來(lái)給定,有時(shí)候SIL驗證計算可以通過(guò),但是如果誤停車(chē)率高于業(yè)主的要求,經(jīng)濟效益將大幅降低,此時(shí)需要采取各種手段,例如調整測量元件“1oo2”架構為“2oo3”架構,同時(shí)滿(mǎn)足可靠性及可用性要求,該數據對驗證、采購、設計都有一定的影響。
10) 事故安全型設計原則。如果設計按照事故安全性原則設計,驗證計算時(shí),將不考慮電源故障的失效率,對于驗證通過(guò)很有幫助。
11) 共因失效因子。共因失效定義詳見(jiàn)GB/T20438.4—2017中3.6.10條規定:對于有表決架構設計的儀表,應合理設計降低共因失效來(lái)提高SIL驗證通過(guò)的可能性,例如:表決的儀表設計為不同測量或執行動(dòng)作原理的儀表,即便是原理相同,要選擇不同的廠(chǎng)家產(chǎn)品等。按照《中國石化安全儀表系統安全完整性等級評估管理辦法(試行)的通知》(中國石化安[2018]150號)要求,PFDavg計算應當考慮共因失效,共因失效因子β選取可采用文獻[3]規定的方法、經(jīng)過(guò)認證的數據、利用專(zhuān)家經(jīng)驗確定。
典型儀表的設備β參考值見(jiàn)表2所列。
表2 典性?xún)x表設備β參考值
微信圖片_20220822220220.jpg

表決架構選用的儀表的β值越大,越不利于SIL驗證通過(guò),β值與接線(xiàn)獨立性設計及施工也有關(guān)系,表決架構的安全儀表電纜的敷設路徑分開(kāi),接線(xiàn)箱的獨立接線(xiàn),進(jìn)入SIS的控制器及卡件的獨立設計,儀表電源的獨立設計,都對降低β值通過(guò)SIL驗證有一定的幫助。


3、結束語(yǔ)

當SIL驗證不能通過(guò)時(shí),應根據驗算結果辨識主要影響因素并變更,如變更表決架構,提高產(chǎn)品檔次、增加PST等,根據變更,再次驗證,以證明當前SIF回路功能已經(jīng)滿(mǎn)足SIL等級要求。
SIL驗證與安全生命周期中的各個(gè)環(huán)節密不可分,目前國內SIL驗證工作才剛剛起步,遇到很多問(wèn)題,隨著(zhù)解決方案日趨成熟,安全才真正得到保障。