主要法规和规范的要求
原安监总管三 [2011] 40号文要求,重大危险源的化工生产装置装备满足安全生产要求的自动化控制系统一级或者二级重大危险源,配备独立的安全仪表系统(SIS) 。并提供了危险化学品重大危险源分级的计算公式或方法。
危险化学品重大危险源分为四级,一级或者二级重大危险源,必须配备独立的安全仪表系统 (SIS) 。
三级四级重大危险源,必须配备满足安全生产要求的自动化控制系统,根据业主要求和LOPA报告可以设置SIS原安监总管三 [2013] 88号文要求,凡涉及“两重点一重大”的生产和储存企业,对本企业存在着风险的生产和储存装置,每三年进行一次分析,对其他生产和储存装置的风险辨识分析,针对装置不同的复杂程度,可每五年进行一次。
《化工建设项目安全设计管理导则》AQ/T 3033-2022规定: 工程项目安全设计范围包括前期设计、基础工程设计和详细工程设计,以及施工安装和投料试车的设计配合等工程项目的全过程。
安全设计管理程序主要包括: 策划(P);实施(D); 检查(C)及处置(A)四个过程及PDCA循环。
项目安全设计应基于危险性分析及风险评估 (HAZOP & LOPA) 的结果选择有针对性的风险防范对策,并按照尽可能合理降低(ALARP) 原则,采取技术可行、经济合理的安全设计方案和措施。安全设计的优先原则如下:
a)事故预防优先原则: 在采用本质安全设计原则消除或削减危险的前提下优先采取事故预防设施,尽可能降低事故发生频率。
b)可靠性优先原则:安全设施的可靠性排序为被动性安全措施、主动性安全措施和程序性管理措施。
C) 可操作性和经济合理性原则: 优先选用技术成熟、操作简便、费用合理的安全措施。
SIS设计的基础文件
HAZOP 分析按照《危险与可操作性分析 (HAZOP 分析)应用指南》GB/T 35320/IEC61882、《危险与可操作性分析 (HAZOP 分析)应用导则》AQ/T3049等国家和行业的标准或指南进行。
HAZOP 分析包括前期准备、分析会议、建议措施、关闭总结等几个阶段,最终形成HAZOP 分析报告。
HAZOP 分析应该在工艺包、基础设计和详细设计阶段分别进行。
HAZOP 分析参加人员包括: 工艺、设备、自控、安全等专业;分析小组主席应由具有认证的功能安全专家担任,参加人员应包括安全工程师。
自控设计和维护人员要参加、审查、学习和执行HAZOP 分析报告,提出分析报告与“两重点一重大”有关的遗漏内容,落实修改分析报告建议措施中与仪表设计有关的内容,并体现在有关设计文件中 (包括DCS、SIS和GDS系统等)。
对于少数很难实现的建议措施,要与HAZOP分析人员逐一落实解决,必要时可以采用其它替代措施。
危险与可操作性分析 (HAZOP)分析HAZOP 分析结果和分析报告按团体标准《危险与可操作性分析质量控制与审查导则》T/CCSAS001一2018进行审查和评价HAZOP 分析报告的质量审查和评定包括以下主要方面:
危险辨识的系统性、结构性、准确性:风险评估和分级的可信性、准确性;分析工作表的完整性、准确性、可读性和再用性;
建议措施的针对性、有效性、可靠性;
分析报告的完整性
LOPA 与HAZOP一般同步进行,参加的人员及阶段也相同。保护层分析法(LOPA) 是建立在HAZOP分析基础上,对所有辨识出的高风险或重大风险,列出其初始事件(IE)、后果、独立保护层(IPL)、原始风险、现有风险、PPD、残余风险等。
通过这些描述和数据计算,确定总体上哪些风险需要削减措施,提示是否需要安全仪表功能SIF,以及这些安全仪表功能需要满足的 SIL等级。LOPA分析的标准是《保护层分析(LOPA) 方法应用导则》AQ/T-3054,《保护层分析(LOPA)应用指南》GB/T-32857等。
LOPA分析采用的风险矩阵、风险等级、风险概率、事故后果分级与HAZOP分析应一致,LOPA分析采用的事件的概率、PFD等数值采用《保护层分析(LOPA)方法应用导则》AQ/T3054里的推荐值。
当导则里无这些数据时可采用行业数据,如《化工过程定量风险分析指南》、《工艺设备可靠性数据指南》和其他公开的数据:工厂的经
验数据 (工厂经验数据具有充足的历史数据可用来进行有意义的统计分析): 供应商的数据。
自控设计人员要参加、审查、学习和执行LOPA 分析报告,提出分析报告与“两重点一重大”有关的遗漏内密落实修改分析报告建议措施中与仪表有关的内容,体现在SIS设计文件中,对于少数很难实现的建议措施,或者SIL等级很难实现的回路,要与LOPA分析人员落实解决。
LOPA分析和SIL定级有以下几个主要步骤:
6)对于配置的 SIF 回路指定其所需的 SIL等级结合企业的实际情况,可接受风险标准一般确定为 1x 10-3~1x10-5 (分别对应后果严重性S3~S5) ,并根据ALARP原则将风险控制在可接接受风险等级之内 (≤II级)。
安全要求规格书 (SRS) 报告
在LOPA分析报告确定SIF安全仪表功能回路后,由有资质的单位编制安全要求规格书(SRS)安全要求规格书 (SRS) 是为SIS 设计、采购、施工、验收及运行维护的组织提供所有SIS通用的安全功能要求以及每个特定的安全仪表功能 (SIF) 提供安全功能和安全完整性要求的详细信息。
包括: 联锁保护要求、安全功能时间要求、检测和执行元件的冗余结构要求、自诊断要求及旁路要求等内容,SRS是 SIS 设计和运行维护各组织工作的基础和依据。
自控设计人员要审查、学习和执行SRS报告,把SRS的要求体现在SIS设计、采购文件中,如:响应时间、逻辑关系等要求,对于少数很难达到的要求,要与SRS编制人员落实解决。
GB/T21109/IEC61511标准规定了SRS的详细内容安全仪表规格书 (SRS) 应包含两方面的要求:
(1) 安全功能要求,至少包含以下内容:
对于辨识出的危险事件,工艺安全状态的定义(如阀门打开或关闭);
测量参数的类型、量程范围及设定值;
逻辑控制器的输出及动作;
输入输出间的逻辑关系;
失电还是得电的选择;
当SIS系统失电和阀门失气时应有的响应动作;
将工艺对象置于安全状态时的响应时间动作;
复位功能要求;
如果误关断或误操作可能导致的危险后果,对相应可靠性的要求。
SIS设计问题的澄清
SIS和BPCS的共用问题
在LOPA分析过程中对于同一场景,SIS和BPCS分别以独立保护层的形式进行了风险削减降低,因此为了满足保护层的独立性,SIS和BPCS应完全独立设置。
包括测量仪表、最终执行元件和逻辑控制器。SIS和BPCS共用会改变LOPA分析中的相关保护措施的风险削减取值,应重新进行分析。
由此会改变SIS需要承担的风险降低需求,相当于SIS承担了原本由SIS和BPCS共同承担的风险降低需求。
GB/T50770-202X (升版),GB/T32857-2016,GB/T21109-2007等三个标准,都明确要求SIS和BPCS应独立,这也是独立保护层的基本要求。
SIS和BPCS共用设备元件对安全功能回路的PFDavg、HFT、SC的要求都有影响。只有满足共用设备元件的危险失效概率足够低、符合安全生命周期的所有要求、充分考虑了BPCS操作维护等对SIS的影响以及按连续模式编制相关维护规程及策略等前提条件后才能共用。
a)如果SIS和BPCS共用控制阀(调节切断或切断阀)由于共用的控制阀参与BPCS控制,SF从低要求模式变为连续模式,其操作和维护模式及策略都应相应的改变,控制阀可能需要由更高SL级别的阀门实现。
b)如果一个切断阀配置两个电磁阀,一个进DCS,一个进SIS,这也不算SIS和BPCS独立。即使采用了双电磁阀配置,控制阀的执行机构、阀体等环节是共用的,仍然存在共因失效,所以不能算作SIS和BPCS独立。
c)同一个仪表,由一入两出信号分配器输出两个信号,一路送至SIS,一路送至BPCS,单一仪表是共因失效概率较大的环节,也不算SIS和BPCS独立。
虽然仪表空气供气管线及设备、伴热管线及系统、系统总输入电源等环节,都存在不同程度的共用,但是这些共用的环节,在工程设计合理并符合相关工程技术标准的前提下,都满足GB/T 21109对于共用环节失效率足够低的要求。不能因为存在这些共用环节,就降低对SIS和BPCS独立性的要求。
安全仪表系统 (SIS) 的设计以《石油化工安全仪表系统设计规范》GB/T 50770 和《过程工业领域安全仪表系统的功能安全》GB/T21109/IEC61511为依据,以工艺管道仪表流程图 (PID) 和联锁保护要求为基础,以项目安全要求规格书(SRS) 和保护层分析 (LOPA)报告等安全文件为准绳。
安全仪表系统设计要同时兼顾安全性和可用性,不能只顾安全性,不考虑可用性,影响正常生产维护。安全仪表系统设计既不能过度安全设计,又不能只顾方便生产,忽视安全设计,设计人员需要平衡安全生产规范与生产实际需求的关系。
SIS仪表的共因失效问题
SIS系统采用同类冗余变送器进行测量,因为司类变送器可能引起共因失效,最好采用不同测量原理或广家的产品,这就是GB21109.2 9.5节要求的多样性。
但是即使现场仪表采用不同的原理或厂家,安装和连接方式又可能是同类的,这样就限制了多样性:再者,仪表的调试、维护等也有影响。
有关数据表明,对于SIL1.SIL2回路,共因失效的影响有限,设计可以不考虑;但是对SIL3回路要重视共因失效的影响,需要对共因失效的可能性进行评估确定。
SIL0或SILa的设计问题
从上述LOPA报告中可以看出SIL0或SILa的出处。SIL0或SILa代表现有风险降低手段还没有将初始风险降低到可接受风险,或者还存在风险缺口,应该重视这部分风险,需要时可以进行“尽可能合理降低”原则ALARP分析,并需要考虑其他相关因素。SIL0或SILa的 PFD值 大于10的负一次方且小于10的0次方属于非SIF。
SIL0或SILa设计要关注,不能一概按照SIL1设计,也不能统一不考虑SIL0或SILa的风险,按照普通回路设计。
SIL0或SILa可以在BPCS或者SIS中实现,但不需要满足GB50770或GB21109等的安全标准,但要符合BPCS的标准,如报警管理标准等。
对于一个事故场景,假设BPCS提供保护达到了两次,并且其中一个保护为BPCS联锁,并且安全分析评估得出SIL0或SILa,则这个SIL0或SILa回路最好采用SIS实现。
LOPA举例中的SIL0可按照BPCS实现。
SIL等级简单预验算
在SIS回路设计时,把SL验算流程简化,不需要提供设备准确的失效数据和复杂的计算,经过简单判断就能得到SIF回路能够达到的大概的SL等级,这样就能大大提高工作效率,减少设计返工,这就是实用简化的SIL预验算。
常规SIL等级验算,通过对SIF各组成部分的PFDavg计算,并综合结构约束 (HFT) 、系统能力(SC)等方面来考量验证SIF的SIL等级,以确认是否满足目标SIL等级要求。化工行业中SIL等级要求主要集中在SIL1和SIL2级别,在SIL验算的时候结构约束和系统能力比较容易满足目标SIL等级要求,所以可以只采用PFDavg来代表整个SIF的SL等级。
PFDavg=PFDSE + PFDLS + PFDFE
SIF回路典型失效率分配如图所示:
影响PFDavg值的主要有6个因素:失效率(λ) ;表决形式(MOON) ;诊断覆盖率(DC) ; 检验测试周期/间隔时间 TI) ;(在线) 平均恢复时间 (MTTR) ; 共因失效因子 (B)其中失效率 (λ)是SIS仪表制造的关键参数 (厂家提供) ,表决形式由设计根据需要确定(设计确定),检验测试周期/间隔时间&平均灰复时间 (MTTR) 与企业的维护管理关系密切 (SRS要求) ,诊断覆盖率和共因失效因子影响有限,SIL1/SIL2回路一般可以不考虑。
对于简单的安全仪表回路其SIL等级由各个组成部分中的最低SIL等级决定,对最低SIL等级的元件进行冗余设计或者替换更高水平的SIL等级元件则能提高整个回路的SIL等级。
阀门的PFDavg占比重最高,是SIF回路中最薄弱的环节。为提升SIF回路的SIL等级,可优先降低阀门的PFDavg:比如在成本允许的条件下采用“1oo2”冗余配置阀门;电磁阀是阀门最关键的附件,可以采用“1oo2”冗余配置的电磁阀来提高阀门的可靠性。
采用冗余配置的电磁阀可以将原有执行机构的SIL结构约束从SIL1提升到SIL2;缩短阀门的检测测试时间(TI);也可以采用带有部分行程测试(PST)功能的阀门等手段来大幅降低阀门的PFDavg。
一般情况下,对于1OO1结构的SIF回路,如果采用SIL1等级仪表,虽然数据计算可以实现SIL1级别,但PFDavg很难达到1.00E-02。如果采用SIL2等级仪表,SIF回路可达到SIL2级别但PFDavg很难达到1.00E-03。这样通过SIL验算较难,因此要采用2OO3冗余结构或PFD值较小的进口或高一级SIL等级的仪表。
对于SIL1回路,一般采用1OO1结构, 采用低PFD值(或进口仪表)的SIL1级或者采用SIL2级的变送器和阀门,确保SIL验算通过;生产部门要关注切断阀检测周期与装置检修周期不同步的问题,按时检修阀门。石化装置检修周期3~4年。但是SIS切断阀的检测周期一般最长一年。
对于SIL2回路,如果SIL回路重要性不高,并且采用低PFD值(或进口仪表) 的SIL2仪表,可以采用1OO1结构的变送器和阀门;如果SIL2回路的重要性较高,并且采用PFD值较大的仪表时,可以采用2OO3结构的变送器,1OO2的电磁阀的单切断阀;如果SIL2回路要求安全性和可用性都高时,需要采用2OO3结构的变送器,1OO2的双切断阀,2OO2的电磁阀。
另外,随着每个SIF回路联锁动作数量的增加,SIF可以实现的SIL等级会出现降级趋势,每个SIF联锁动作回路最多不能超过10个。
综上所述,自控设计人员拿到LOPA分析结果(相关SIF回路的SIL等级)后,应该首先搜集项目有关现场仪表、安全栅、控制系统、继电器、控制阀等产品手册的安全参数(包括:λ、PFD、SFF等),包括进口仪表和国产仪表。
根据相关参数初步确定每个SIF回路的冗余结构型式(1OO1,1OO2,2OO3);再根据安全仪表系统平均失效率的计算公式,验算该SIF回路是否满足SIL等级要求,如果满足即可通过,如果不能满足则需回头再调整变送器或阀门的冗余结构,直到验算结果满足安全分析的要求为止。
SIS设计验证
安全仪表系统设计、采购完成后,由有资质的单位编制《安全仪表系统安全完整性(SIL)验算报告》。SL安全完整性等级的验证,应当根据SL安全完整性定级即LOPA报告的每个SIF回路的各个组成部分的PFD(要求时的失效概率) ,计算回路整体要求时的失效概率,计算应充分考虑SIF回路的硬件结构约束特性 (HFT)、SIS系统能力 (SC),确认SIF回路能否达到所需的SIL等级要求。
SIL验算可以参照3.4节 SIL简单预验算公式进行。
自控设计人员要配合SIL验证工作,提供或核实SIS仪表的PFD值,核实逻辑关系,检查结构约束,对于验算不能通过的SIF回路要调整SIS设计(改变元余结构形式或仪表SIL等级等方式) 或修改SRS报告中的检验测试周期/间隔时间、平均恢复时间(MTTR) 等企业管理要求满足验算要求,最终保证装置安全。
SIS设计应当关注的内容
为了进一步规范和统一化工企业安全仪表系统等安全设施标准,不断提升化工企业本质安全水平,对危险化学品企业要进行“机械化换人、自动化减人”安全技术改造工作。
自控设计人员要配合检查、落实以下内容是否包含在HAZOP报告和SIS设计中,以免安全仪表系统等安全设施设计遗漏影响项目的安全检查及验收。
原料、产品储罐及装置储罐的关注内容
1.构成一级或者二级重大危险源危险化学品罐区的储罐均应设置高、低液位报警和高高、低低液位联锁紧急切断进、出口切断阀。
2.可燃液体或有毒液体的装置储罐应设置高液位报警并设置高高液位联锁切断进料。
3.装置高位槽应设置高液位报警以及高高液位联锁切断进料或设溢流管道,宜设置低低液位联锁停抽出泵或切断出料设施。
4.气柜应设置设上、下限液位报警装置,并设置高高、低低液位联锁进出料切断阀。
5.中间储罐应设置高高液位联锁切断进料、低低液位联锁停泵,可能影响上下游生产装置正常生产时,应整体考虑装置联锁方案,有效控制生产装置的安全风险。
6.距液化烃和可燃液体(有缓冲罐的可燃液体除外)装卸鹤管10m以外的进出料管道上应设置便于操作的紧急切断阀。
7.容积大于等于50m3的可燃液体储罐、有毒液体储罐、低温储罐及压力罐均应设置液位连续测量远传仪表和就地液位指示,并设置高液位报警;浮顶储罐和有抽出泵的储罐应同时设置低液位报警;易燃、有毒介质压力罐应设置高高液位或高高压力联锁停止进料。
8.储罐进出口切断阀的防火要求应满足《石油化工企业设计防火标准》(GB50160)。
9.当有可靠的仪表空气系统时,切断阀应首选气动执行机构,采用故障-安全型(FC或FO)。当工艺特别要求切断阀为仪表空气故障保持型(FL),应选用双作用气缸执行机构,并配有仪表空气罐,阀门保位时间不应低于48小时。在没有仪表气源的场合,但有一级负荷的电力电源系统时,可选用电动阀。当工艺、转动设备有特殊要求时,也可选用电液开关阀。
反应工序的关注内容
涉及重点监管危险化工工艺的安全仪表系统应具备信息存储、连续记录、超限报警、联锁切断、紧急停车等功能。
1.对于常压放热反应的反应器应设置反应温度高高报警并联锁切断进料、联锁打开紧急冷却系统。
2.对于带压放热反应的反应器应设置反应压力高高报警并联锁切断进料、联锁打开紧急冷却系统及紧急泄放设施,或(和)反应器设置反应温度高高报警并联锁切断进料,并联锁打开紧急冷却系统。
3.对于使用热媒加热常压反应的反应器应设置反应温度高高报警并联锁切断进料或联锁切断热媒,并联锁打开紧急冷却系统。
4.对于使用热媒加热带压反应的反应器应设置反应温度高高报警并联锁切断进料、联锁切断热媒,并联锁打开紧急冷却系统,或(和)反应器设置压力高高报警并联锁切断进料、联锁切断热媒,并联锁打开紧急冷却系统及紧急泄放设施。
5.属于同一种反应工艺,多个反应器串联使用的,各反应器应分别设置温度、压力高高报警,任一反应器温度或压力高高报警时应联锁切断总进料并联锁开启该反应器紧急冷却系统。
6.设有搅拌系统且具有超压或爆炸危险的反应器,应设置搅拌电流远传指示,搅拌系统故障停机时应联锁切断进料和热媒并采取必要的冷却措施。
7.设有外循环冷却或加热系统的反应器,宜设置备用循环泵,并具备自动切换功能。应设置循环泵电流远传指示,外循环系统故障时应联锁切断进料和热媒。
8.反应催化剂采用自动滴加方式,紧急停车时和反应温度、压力联锁动作时应当联锁停止催化剂滴加。
9. 应在控制室辅操台和反应器现场附近分别设置紧急停车按钮。
精馏工序的关注内容
精馏塔除设计典型的基本控制回路外,还应考虑以下几方面的安全设计:
1.当萃取、脱色、蒸发、结晶、蒸馏、酸解、碱解等精馏过程需要热媒加热时,当热媒温度高于精馏(蒸馏)塔内介质沸点的,应设置精馏塔釜温度报警联锁回路,当塔釜温度高高时联锁切断热媒。
2.塔顶操作压力大于0.1MPa的蒸馏塔、汽提塔、蒸发塔等应同时设置塔顶压力高高联锁切断塔釜热媒。
3.塔顶操作压力为负压时应当设置压力调节系统并设置压力高报警。
精馏塔的典型控制方案
其它工艺过程的关注内容
1.涉及液氯、LNG等液体介质气化工艺过程的,应设置气相压力和温度报警联锁回路,当压力高高和温度高高时联锁关闭液体介质进料和热媒,并设置超压自动泄压设施;同时设置泄压和安全处理设施,处理设施排放口宜设置气体检测报警设施。
2.涉及易燃、有毒等固体原料经熔融成液体相变工艺过程的,应设置液体压力和温度报警联锁回路,当压力高高和温度高高时联锁打开冷媒、紧急切断热媒。
3.存在突然超压或发生瞬时分解爆炸危险、因物料爆聚或分解造成超温、超压的原料储存设施,应设置温度、压力报警联锁回路,当压力高高和温度高高时紧急切断热媒,并设置安全处理设施。
4.产生蒸汽的汽包应设置压力、液位报警联锁回路,并设置高低液位联锁高液
位停止加热介质和进水,低液位停止加热。蒸汽过热器应在过热器出口设置温度联锁回路,当温度高高联锁停车。
5.工厂仪表空气总管、蒸汽主管和循环水总管设置压力低低报警信号和联锁停信号,发送给其服务的装置。
